首页 > 传媒 > 关键词  > SQL注入漏洞最新资讯  > 正文

ECShop曝高危SQL注入漏洞 360首推临时解决方案

2012-11-05 11:24 · 稿源: 站长之家用户

日前,第三方漏洞报告平台乌云曝出国内知名网店系统ECShop GBK版本存在高危SQL注入漏洞,(https://wooyun.org/bugs/wooyun-2010-09463),黑客利用此漏洞可获得管理员账号密码,窃取网站数据。360网站安全检测平台对注册网站检测发现,国内3000余个网站存在此漏洞,是近期流行度最高的漏洞之一。目前,360已独家提供了应对该漏洞的临时解决方案。

360网站安全检测平台网址:https://webscan.360.cn

ECShop是一款基于PHP与MYSQL开发的B2C网店系统,国内大量企业及个人用户使用ECShop建立网上商店。360安全专家表示,目前使用ECShopGBK版本的所有网站,都存在这一SQL注入漏洞,漏洞的文件为user.php。

图1:ECShop程序中的user.php中过滤不严导致漏洞

360安全专家分析发现,漏洞成因在于user.php文件会直接带入SQL语句操作数据库的用户可控变量。由于ECShopGBK版本采用GBK编码(宽字符编码),攻击者可通过传入半个字符的方式绕过对单引号的转义,故而导致可执行任意构造的SQL注入语句。此外,程序对magic_quotes_gpc是否开启也做出了判断,攻击者可利用相同注入语句进行注入,并通过MD5解密工具对MD5密文进行破解得到明文账号密码,从而窃取网站任意数据。

图2:宽字节SQL注入利用漏洞

由于ECShop官方尚未针对此高危SQL注入漏洞发布修复补丁,所以360网站安全检测平台已不仅第一时间向旗下网站发出警告邮件,还同时提供了临时解决方案(附录),建议站长和网站管理员尽快手动修复,同时推荐使用360网站安全检测平台和360网站卫士,随时掌握网站安全状况。

附:360独家提供的临时解决方案:

在user.php文件的第276行,增加下面一行语句:

$username=str_replace('\'','',stripslashes($username));

关于360网站安全服务

360为站长提供免费的网站安全解决方案,包括360网站安全检测平台和360网站卫士:

360网站安全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台,拥有全面的网站漏洞库及蜜罐集群检测系统,能够第一时间协助网站检测修复漏洞;

360网站卫士则为站长免费提供网站防火墙、DDOS保护、CC保护、智能DNS解析、盗链保护、页面压缩、缓存加速和永久在线等服务。

关于奇虎360科技有限公司

奇虎360(NYSE:QIHU)是中国第一大互联网安全服务提供商。按照用户数量计算,目前奇虎360是中国第三大互联网公司。作为“免费安全”的首创者,奇虎360为近4亿中国互联网用户提供领先的互联网和无线安全产品及服务,覆盖率近90%。奇虎360通过提供细致、完善的平台服务以及网络安全服务,以开放平台实现商业价值,与合作伙伴共同建立起多方共赢的互联网生态体系。

推广

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。站长之家将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,可及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈联系地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

  • 相关推荐
  • 破局新质人才培育!360与毕节职院共筑贵州产业升级人才基座

    7月10日,360数字安全集团与毕节职业技术学院签署战略合作协议,共建"毕节职业-360数智安全产业学院"。双方将聚焦新一代信息技术产业,重点培养人工智能与数字安全领域的高素质专业人才,助力贵州数字经济发展。合作内容包括共建实训中心、工程中心、科研创新研究院及ISC平台,形成"三中心一平台"体系,通过产教融合模式培养"精技术、善实战、勇担当"的复合型人才。360将输出安全领域核心成果与行业经验,毕节职院将优化专业设置,双方共同打造"教育链-人才链-产业链"深度融合示范案例,为西部数字经济发展探索新路径。

  • 高新投三江交通枢纽消防解决方案,守护城市“大动脉”

    文章探讨了地铁隧道、高铁站点、机场等交通枢纽的消防安全挑战。这些密闭空间机电设备密集、人员疏散困难,火灾风险极高。解决方案需具备三大优势:1)多维度探测技术,实现早期精准预警;2)高防护性能,抗电磁干扰、耐腐蚀;3)云端整合的智慧消防平台,联动通风排烟、应急疏散等系统。典型案例包括深圳宝安机场、广州白云站等,通过智能感知、可靠防护和高效联动,构建立体化安全屏障。未来将持续深耕消防技术前沿,为现代化综合交通运输体系提供坚实安全保障。

  • 27岁程序员敲代码时视网膜脱离 眼科医生提醒高危人群

    ​近日, 27 岁的合肥程序员小李经历了一场惊心动魄的健康危机。凌晨 2 点,连续加班数小时的他突然发现电脑屏幕上的代码扭曲变形,视野上方浮现固定黑影,紧急就医后被确诊为孔源性视网膜脱离,且病变已累及视觉中枢黄斑区。经眼科专家连夜实施视网膜复位手术,其右眼视力虽未完全恢复至术前水平,但已保住基本视觉功能。 "这类疾病就像'眼球内的地震'�

  • 三星推出面向未来的移动安全解决方案,赋能个性化AI体验

    三星推出Knox增强加密保护(KEEP)和抗量子加密Wi-Fi等多项安全创新功能,为新一代Galaxy设备提供更强大的隐私保护。KEEP通过独立加密存储空间隔离应用数据,结合Knox Vault硬件级防护,确保AI功能数据安全。安全Wi-Fi引入抗量子加密技术,抵御未来网络威胁,并在公共网络自动激活防护。这些升级将隐私保护从可选功能提升为系统级设计原则,通过多层防护机制为用户数据安全提供可靠保障。

  • 微云全息(NASDAQ: HOLO)推出创新区块链重建解决方案, 通过可验证秘密共享技术保障交易安全

    微云全息(HOLO)推出创新区块链重建方案,采用可验证秘密共享(VSS)技术解决许可区块链的安全隐患。该方案通过数据加密存储、改进共识机制和智能合约集成,确保在节点受损时仍能保持区块链完整性。VSS技术将密钥信息分散存储,需足够数量节点联合才能重建,防止单点故障。方案还设计了隐私保护机制,即使在不诚实重建情况下也能保护用户私钥。这一技术能快速响应攻击,允许用户独立重建,增强系统稳定性和用户信任,为加密市场带来更高安全性和稳定性。

  • 微云全息(NASDAQ: HOLO)引领加密货币预测新纪元:HNFCS技术揭秘

    微云全息(NASDAQ:HOLO)开发了混合神经模糊控制系统(HNFCS),结合神经网络学习能力和模糊逻辑灵活性,能有效预测比特币等加密货币价格波动。该系统通过处理海量市场数据,动态调整预测模型,克服了传统方法在样本外预测和超时预测准确性方面的局限。HNFCS技术优势在于其自适应性和实时性,可扩展应用于多种金融场景,为投资者提供精准决策支持,有望成为加密货币市场的重要分析工具。

  • 润致・缇透:哪些人该给肌肤注入“光能”?

    文章介绍了一款名为"润致·纤透"的国产III类械字号肌肤改善产品。该产品针对三类肌肤问题人群:沙漠肌、暗沉肌和初老肌,提供定制化解决方案。其核心技术采用非交联透明质酸能渗透至真皮层,在肌底搭建储水网络,配合多重氨基酸形成锁水膜,临床数据显示能提升9%水润度和15%光泽度。产品还含有氨基酸成分,能促进胶原纤维新生,改善肌肤粗糙问题。作为国内首个获得肌肤改善适应症的III类械字号动能素,该产品经过严格审批,能有效解决干燥、暗沉、初老等肌肤问题,帮助肌肤焕发新生。

  • 儿童排痰难题解决方案:易坦静与科学饮水

    文章讨论了儿童呼吸道感染时痰液滞留的危害及应对措施。主要内容包括:1)痰液滞留会加重咳嗽、喘息症状,阻碍康复,甚至延长病程;2)儿童因生理特点难以有效排痰;3)介绍了氨溴特罗口服溶液作为常用祛痰药的作用机制,能稀释痰液、促进排出;4)强调日常护理中少量多次饮水的重要性;5)提醒家长若症状持续或加重应及时就医。全文着重阐述了有效排痰对治疗儿童呼吸道感染的关键作用。

  • 粉色没了!曝iPhone 17/17 Air共有9款配色

    ,配件制造商正在生产适用于iPhone 17和iPhone 17 Air的摄像头保护圈,这些保护圈的颜色与手机发布时的机身配色相匹配,由此可以确定iPhone 17以及17 Air的新配色。 据爆料,iPhone 17提供黑色、白色、蓝色、绿色和紫色等配色,iPhone 17 Air提供黑色、白色、金色和蓝色等配色,两款机型配色加起来共计有9款。 作为对比,iPhone 16以及iPhone 16 Plus提供群青色、深青色、粉色、白色和黑�

  • 重磅!360与北交大强强联手,共筑网安人才培养新高地

    360集团与北京交通大学达成战略合作,将共建产学研一体化实践基地和创新中心。双方将发挥各自在智能交通数据安全、AI安全等领域优势,联合开发模块化课程体系,培养实战型网络安全人才。目前已合作培养超百名专业人才,其中50余名北交大毕业生加入360。未来将聚焦安全大模型应用、智能交通数据防护等技术攻关,加速科研成果转化,打造数字安全人才培养标杆,为国家网络安全事业提供核心支撑。