首页 > 传媒 > 关键词  > 360最新资讯  > 正文

360独家发现并协助ECShop修复高危漏洞

2013-02-19 10:47 · 稿源:中国站长站

近日,360网站安全检测平台独家发现网店系统ECShop支付宝插件存在高危0day漏洞。黑客可利用SQL注入绕过系统限制获取网站数据,进而实施“拖库”窃取网站资料。由于ECShop与电子商务关系密切,涉及网上钱财交易,一旦该漏洞被大范围利用,将造成严重后果。对此,360已于第一时间向ECShop通报了该漏洞细节并协助推出了官方修复补丁。

360网站安全检测平台服务网址:https://webscan.360.cn

ECShop是一款热门的B2C网店建站系统,国外很多知名企业和个人用户都在使用ECShop建立电商网站。据悉,360此次发现的漏洞存在于所有版本的ECShop系统中,大量电商网站面临被拖库的风险。

图1:黑客可用str_replace函数绕过单引号限制实施SQL注入

据360安全工程师分析,此次出现的ECShop系统SQL注入漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入。GBK与UTF-8版本ECshop均存在此漏洞。

图2:构造SQL语句可查询后台管理用户密码

目前,ECShop官网已经发布官方修复程序。360网站安全检测平台也第一时间向注册用户发送了告警邮件,提醒用户尽快打补丁,防止黑客拖库攻击。同时,360安全工程师建议网站管理员及个人站长使用360网站安全检测平台对网站进行全面体检,掌握网站安全状况,并使用360网站卫士防御黑客攻击。

临时解决方案:

1.关闭支付宝插件

2.修改/includes/modules/payment/alipay.php文件中

$order_sn = str_replace($_GET[‘subject’], ‘’, $_GET[‘out_trade_no’]);

$order_sn = trim($order_sn);

修改成如下代码

$order_sn = str_replace($_GET[‘subject’], ‘’, $_GET[‘out_trade_no’]);

$order_sn = trim(addslashes($order_sn));

ECShop官方补丁程序下载地址(推荐):

https://bbs.ecshop.com/viewthread.php?tid=1125380&extra=page=1&orderby=replies&filter=172800

关于360网站安全服务

360为站长提供免费的网站安全解决方案,包括360网站安全检测平台和360网站卫士:

360网站安全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台,拥有全面的网站漏洞库及蜜罐集群检测系统,能够第一时间协助网站检测修复漏洞;

360网站卫士则为站长免费提供网站防火墙、DDOS保护、CC保护、智能DNS解析、盗链保护、页面压缩、缓存加速和永久在线等服务。

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。站长之家将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

  • 相关推荐
  • 大家在看
  • 爱奇艺诉360浏览器获赔

    据知产北京公众号消息,近日,北京知识产权法院审结了一件浏览器带有“边录边播”、“一键分享”功能被诉构成不正当竞争的上诉案件。

  • Windows 11等版本集体中招:微软证实存在高危漏洞

    Windows 11存在高危漏洞,这点微软已经证实了。计算机安全组织Cisco Talos发现了一个新的漏洞,包括Windows 11和Windows Server 2022在内的所有Windows版本均受影响。该漏洞存在于Windows安装程序中,允许攻击者提升自己的权限成为管理员。利用该漏洞,拥有部分权限的用户可以提升自己的权限至系统管理员。这家安全公司已经在互联网上发现了恶意软件样本,这表明可能已经有黑客利用该漏洞发起攻击。此前,微软的安全研究员Abdelham

  • 微软为Windows 10推送KB5007186累积更新:大量Bug和高危漏洞修复

    今天(11月10日),微软向Windows 10 2004、20H2和21H1用户推送了编号为KB5007186的累积更新,此次更新包含了6个关键更新和49个重要更新”,同时修复了数个Bug。具体来说,本次更新修复了20个提权漏洞;2个安全功能绕过漏洞;15个远程代码执行漏洞。除此之外还修复了10个信息泄露漏洞;3个拒绝服务漏洞和4个欺骗漏洞。上述修复内容中包含了部分针对Microsoft Exchange和Excel的,被广泛利用的漏洞,如果不进行修复对系统的安全性和

  • 协助微软修复“零点击”等高危漏洞,昆仑实验室收获11月“三连致谢”

    近日,微信官方发布了 11 月份最新一期的安全致谢名单,并公开了一批最新发现的系统漏洞名单。其中,北京赛博昆仑科技有限公司旗下的昆仑实验室成为榜单上最亮眼的存在,以帮助微软发现三处漏洞的突出表现,收获官方三次致谢。在最新的致谢名单可以看到,昆仑实验室的安全研究员发现了存在于Windows系统和内核的共三个漏洞,分别是Microsoft 虚拟机总线 (VMBus) 远程代码执行漏洞(CVE-2021-26443)、Windows 内核特权提升漏洞(CV

  • 小佩宠物快闪精彩360线下活动

    近日,360 智慧商业联合新华财经发布《双十一消费观察报告》(以下简称“报告”),基于360 大数据,深度解密双11 期间繁荣盛况背后的消费百态。双十一,360 线下同步举办了线下活动展,联合了众多实体生活品牌,其中包括宠物赛道黑马企业小佩宠物。此次活动,旨在线上线下联动发力,主题以《“慧”聚双十一,精彩360》为主题,着力打造实体经济的A11 力给。本次活动有360 智慧商业主办。以“干净·放心”为营业理念的小佩宠物,从

  • 360金融课堂学员:改变在任何时候都不晚

    摘要:改变是很多年轻人经常提及的一个词,但很多人对改变的正面结果很期望,却很难付出与之对应的努力。 360 金融课堂学员金子轩分享:其实改变对于任何时期都不晚,当你觉得生活不甚满意,那一定是哪里除了问题,找出来,解决它!很多人抱有“考上大学就轻松了”、“工作或结婚后就稳定了”之类的传统观念。在日常生活中,与之类似的观点屡见不鲜,很多人总会用某个相对特殊的人生节点让自己逐渐进入安稳的生活状态,但这样的心?

  • 阿里、腾讯、360等发起合作声明:免费开放部分专利

    据国家统计局公布的第七次全国人口普查数据显示,中国60岁及以上人口为26402万人,占总人口的18.70%。目前,我国中老年人口数量庞大,面对手机越来越成为智能生活必需品的现状,许多适应性问题亟待解决。为了消除中老年人群面临的数字鸿沟,有关部分也多次发文号召互联网企业开发适老APP,做好无障碍改造工作,帮助更多老年人,残疾人消除使用智能技术的障碍。今天,中国信息通信研究院、阿里巴巴集团、蚂蚁集团、快手、饿了么、腾

  • 线上推理你玩过吗?360搜索上线《推理档案局》线上推理项目

    彷佛一夜之间,剧本杀火了,并吸引了越来越多的人。线下剧本杀你常常玩,可线上剧本杀你玩过吗?11月 22 日,360搜索“推理解谜项目”——《推理档案局》成功上线,这是搜索场景下第一个线上推理产品。用户只需在PC端 360 搜索中输入“狐狸塔疑案”即可触发活动,适合初玩线上推理的用户,足不出户就能沉浸式体验发生在 20 世纪的旷世奇案。悬疑推理环环相扣 民国奇案等你解密 “狐狸塔疑案”的背景设定在 20 世纪30年代,一位19岁

  • Life360将获得Tile,以将位置共享与对象跟踪相结合

    Life360是一家同名应用程序的开发公司,它允许你与朋友和家人分享你的位置。Life360将以2.05亿美元的价格收购Tile。这笔交易预计将在新年前三个月完成。这对两家公司都有利。首先,安装了Life360应用程序的3300万智能手机用户将加入Tile的搜索网络,预计该网络的覆盖范围将增加约10倍。磁贴跟踪器依赖蓝牙,但蓝牙的距离相对较短,与手机的连接可能很快就会丢失。搜索网络通过依赖其他用户和他们的手机来接收信号,从而扩大了搜索?

  • 海底捞市值年内蒸发3600亿港元 火锅突然不香了?

    受疫情影响,海底捞股价近期呈下跌趋势。截至目前,海底捞股价年内已跌去77%,市值蒸发超过3600亿港元。而作为海底捞创始人张勇,其身价也大幅缩水。

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天