首页 > 传媒 > 关键词  > SQL注入漏洞最新资讯  > 正文

ECShop曝高危SQL注入漏洞 360首推临时解决方案

2012-11-05 11:24 · 稿源:CCTIME飞象网

日前,第三方漏洞报告平台乌云曝出国内知名网店系统ECShop GBK版本存在高危SQL注入漏洞,(https://wooyun.org/bugs/wooyun-2010-09463),黑客利用此漏洞可获得管理员账号密码,窃取网站数据。360网站安全检测平台对注册网站检测发现,国内3000余个网站存在此漏洞,是近期流行度最高的漏洞之一。目前,360已独家提供了应对该漏洞的临时解决方案。

360网站安全检测平台网址:https://webscan.360.cn

ECShop是一款基于PHP与MYSQL开发的B2C网店系统,国内大量企业及个人用户使用ECShop建立网上商店。360安全专家表示,目前使用ECShopGBK版本的所有网站,都存在这一SQL注入漏洞,漏洞的文件为user.php。

图1:ECShop程序中的user.php中过滤不严导致漏洞

360安全专家分析发现,漏洞成因在于user.php文件会直接带入SQL语句操作数据库的用户可控变量。由于ECShopGBK版本采用GBK编码(宽字符编码),攻击者可通过传入半个字符的方式绕过对单引号的转义,故而导致可执行任意构造的SQL注入语句。此外,程序对magic_quotes_gpc是否开启也做出了判断,攻击者可利用相同注入语句进行注入,并通过MD5解密工具对MD5密文进行破解得到明文账号密码,从而窃取网站任意数据。

图2:宽字节SQL注入利用漏洞

由于ECShop官方尚未针对此高危SQL注入漏洞发布修复补丁,所以360网站安全检测平台已不仅第一时间向旗下网站发出警告邮件,还同时提供了临时解决方案(附录),建议站长和网站管理员尽快手动修复,同时推荐使用360网站安全检测平台和360网站卫士,随时掌握网站安全状况。

附:360独家提供的临时解决方案:

在user.php文件的第276行,增加下面一行语句:

$username=str_replace('\'','',stripslashes($username));

关于360网站安全服务

360为站长提供免费的网站安全解决方案,包括360网站安全检测平台和360网站卫士:

360网站安全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台,拥有全面的网站漏洞库及蜜罐集群检测系统,能够第一时间协助网站检测修复漏洞;

360网站卫士则为站长免费提供网站防火墙、DDOS保护、CC保护、智能DNS解析、盗链保护、页面压缩、缓存加速和永久在线等服务。

关于奇虎360科技有限公司

奇虎360(NYSE:QIHU)是中国第一大互联网安全服务提供商。按照用户数量计算,目前奇虎360是中国第三大互联网公司。作为“免费安全”的首创者,奇虎360为近4亿中国互联网用户提供领先的互联网和无线安全产品及服务,覆盖率近90%。奇虎360通过提供细致、完善的平台服务以及网络安全服务,以开放平台实现商业价值,与合作伙伴共同建立起多方共赢的互联网生态体系。

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。站长之家将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

  • 相关推荐
  • 大家在看
  • 英国品牌BOY LONDON宣布关闭网店:旗舰清仓甩卖 一件不留

    12月7日消息,据媒体报道,BOY LONDON天猫官方旗舰店发布关店公告,店铺内商品清仓甩卖,一件不留。天猫旗舰店发布的倒计时图显示,网店预计在12月底正式关闭运营。这一举措引发业界关注,用户猜测品牌在华经营是否出现了问题。对此,店铺客服表示,关店系品牌业务策略调整”,实体店正常营业。作为英国潮流品牌,BOY LONDON大大的Logo曾晃荡”在潮男潮女的衣柜里,在国内有不小的知名度。BOY LONDON于1976年创立于英国,其母公司?

  • 网店主们要注意了!淘宝用热播剧截图宣传“同款”服装被判侵权

    随着电商发展的这些年来,每次热播影视内容都会掀起一波同款”风,甚至很多剧中人物的商品在开播当天就能迅速占领电商平台,冒出无数同款。这些同款产品基本都会用影视剧中截图,来证明自己与剧中人物使用的商品为同款,其中包括衣服、鞋子、数码产品、家电、香水等方方面面。但是,这些店家可能在无形之中都违法了。今天中午,上还上海知识产权官微@上海知产法院 就发文公开了这么一起案件,其中认为淘宝天猫某店铺在销售《亲爱的

  • 英国监管机构要求 Facebook 出售 GIF 制作分享网站 Giphy

    据彭博报道,根据一份声明,英国竞争与市场管理局(CMA)今天表示,Meta (已更名为「Meta」)收购 Giphy 的交易有碍市场竞争。CMA 要求Facebook出售Giphy,因为该机构认定这笔交易可能会损害社交媒体用户和英国广告商。

  • 《蜘蛛侠:英雄无归》预售导致AMC和Fandago网站发生崩溃

    漫威和MCU的粉丝们可能还记得,《复仇者联盟:终局之战》在全美电影票务网站开启电影票预售后迎来了一个巨大的数字。现在看来,《蜘蛛侠:英雄无归》也遇到了同样的情况,粉丝们在网上称AMC和Fandango都因为需求而崩溃。NFT的发布可能是部分原因。周日早些时候,AMC宣布首批86000名购买或预订12月16日《蜘蛛侠》的AMC存根A-List、首映或Investor Connect会员将收到一份“环保型”蜘蛛侠NFT。很难说这是否对AMC网站的瘫痪构成任何影

  • 网站快照每天更新,对SEO很重要吗?

    ​SEO是一个信息差异化很大的工作,每天在接触企业主各种问题的时候,普遍都会发现一些基础性的问题,虽然国内SEO行业已经发展很多年。

  • UCSD研究团队介绍SugarCoat开源隐私保护工具 助你安全上网冲浪

    加州大学圣迭戈分校的一支计算机科学家团队,刚刚携手 Brave Software 开发了一款新工具,旨在加强用户在网上冲浪时的隐私数据保护体验。这款名为 SugarCoat 的工具,将目光瞄向了可能损害用户隐私的脚本内容 —— 比如追踪用户的 Web 浏览历史。另一方面,对于内嵌相关脚本的网站来说,这项功能又是不可或缺的。关于 SugarCoat 如何通过重写代码以保护数据隐私的说明有鉴于此,SugarCoat 将这些脚本替换成了具有相同属性的版本,?

  • 三星显示开设 OLED 全球网站:支持中、韩、英三种语言

    这个全新上线的网站会发布关于OLED的新鲜资讯,展示三星OLED的差异化产品和技术优势,将成为一个面向全世界用户的交流中心。三星OLED网站网址为:http://oledera.samsungdisplay.com,有中文、韩文、英文三种语言供选择。在这里,有关于OLED的基本原理,针对个别应用进行优化的OLED的独特优势介绍,各类视频信息以及科技媒体和海外达人的评测,三星OLED的总体布局,都会让消费者全面获知并且一目了然。

  • 新可穿戴设备可在检测到阿片类药物过量时注入解毒剂

    尽管药物纳洛酮在阿片类药物过量的情况下可以成为救命稻草,但它必须被迅速施用。这就是一种新可穿戴设备的作用,据悉,它被设计成会首先检测过量的影响然后再提供纳洛酮注射的运作方式。目前,该注射器处于运作的原型状态,由华盛顿大学的科学家开发,该项研究项目由博士生Justin Chan领导。它需要被贴在使用者胃部的皮肤上,之后利用加速计和微处理器持续监测他们的身体运动和呼吸速率。如果它检测到持续缺乏运动--结合已知的跟?

  • LG将关闭其开发者网站,这是解锁引导加载程序的最后机会

    LG宣布退出智能手机业务后,该公司承诺对其最新旗舰手机进行三年操作系统更新,以延长其生命周期,确保忠实用户不会失望。但从下个月开始,这家韩国科技巨头将不再提供解锁引导程序的钥匙。 在开发者网站上有一个通知说公司将终止它,并且"在网站上提供的所有信息和发布Bootloader解锁密钥在2021年12月31日之后都将不可用"。因此,如果你打算保留你的LG手机多一点,你想根它或安装一个自定义的ROM,现在是你的机会得到引导加载程序

  • ESET:黑客借中东新闻网站对目标访客发起攻击

    经历了持续一年多的追踪,网络安全研究人员终于摸清了“中东之眼”新闻网站入侵事件的来龙去脉。由 ESET 周二发布的报告可知,一群黑客入侵了总部位于伦敦的这家热门新闻网站。这家网站着眼于中东地区的新闻报道,而攻击者的最终目标却是网站访客。伊朗驻阿布扎比大使馆网站的脚本注入据悉,这轮黑客活动一直从 2020 年 3 月活跃到 2021 年 8 月,期间波及大约 20 个网站,同时导致不少访客中招。具体说来是,攻击者利用了所谓的“

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天