近日，360網(wǎng)站安全檢測平臺(tái)獨(dú)家發(fā)現(xiàn)網(wǎng)店系統(tǒng)ECShop支付寶插件存在高危0day漏洞。黑客可利用SQL注入繞過系統(tǒng)限制獲取網(wǎng)站數(shù)據(jù)，進(jìn)而實(shí)施“拖庫”竊取網(wǎng)站資料。由于ECShop與電子商務(wù)關(guān)系密切，涉及網(wǎng)上錢財(cái)交易，一旦該漏洞被大范圍利用，將造成嚴(yán)重后果。對此，360已于第一時(shí)間向ECShop通報(bào)了該漏洞細(xì)節(jié)并協(xié)助推出了官方修復(fù)補(bǔ)丁。

        ECShop是一款熱門的B2C網(wǎng)店建站系統(tǒng)，國外很多知名企業(yè)和個(gè)人用戶都在使用ECShop建立電商網(wǎng)站。據(jù)悉，360此次發(fā)現(xiàn)的漏洞存在于所有版本的ECShop系統(tǒng)中，大量電商網(wǎng)站面臨被拖庫的風(fēng)險(xiǎn)。

        據(jù)360安全工程師分析，此次出現(xiàn)的ECShop系統(tǒng)SQL注入漏洞存在于/includes/modules/payment/alipay.php文件中，該文件是ECshop的支付寶插件。由于ECShop使用了str_replace函數(shù)做字符串替換，黑客可繞過單引號(hào)限制構(gòu)造SQL注入語句。只要開啟支付寶支付插件就能利用該漏洞獲取網(wǎng)站數(shù)據(jù)，且不需要注冊登入。GBK與UTF-8版本ECshop均存在此漏洞。

        目前，ECShop官網(wǎng)已經(jīng)發(fā)布官方修復(fù)程序。360網(wǎng)站安全檢測平臺(tái)也第一時(shí)間向注冊用戶發(fā)送了告警郵件，提醒用戶盡快打補(bǔ)丁，防止黑客拖庫攻擊。同時(shí)，360安全工程師建議網(wǎng)站管理員及個(gè)人站長使用360網(wǎng)站安全檢測平臺(tái)對網(wǎng)站進(jìn)行全面體檢，掌握網(wǎng)站安全狀況，并使用360網(wǎng)站衛(wèi)士防御黑客攻擊。

臨時(shí)解決方案：

        1.關(guān)閉支付寶插件

        2.修改/includes/modules/payment/alipay.php文件中

        $order_sn = str_replace（$_GET［‘subject’］， ‘’， $_GET［‘out_trade_no’］）;

        $order_sn = trim（$order_sn）;

修改成如下代碼

        $order_sn = str_replace（$_GET［‘subject’］， ‘’， $_GET［‘out_trade_no’］）;

        $order_sn = trim（addslashes（$order_sn））;

        ECShop官方補(bǔ)丁程序下載地址（推薦）：

        http://bbs.ecshop.com/viewthread.php？tid=1125380&extra=page=1&orderby=replies&filter=172800

關(guān)于360網(wǎng)站安全服務(wù)

        360為站長提供免費(fèi)的網(wǎng)站安全解決方案，包括360網(wǎng)站安全檢測平臺(tái)和360網(wǎng)站衛(wèi)士：

        360網(wǎng)站安全檢測平臺(tái)是國內(nèi)首個(gè)集網(wǎng)站漏洞檢測、網(wǎng)站掛馬監(jiān)控、網(wǎng)站篡改監(jiān)控于一體的免費(fèi)檢測平臺(tái)，擁有全面的網(wǎng)站漏洞庫及蜜罐集群檢測系統(tǒng)，能夠第一時(shí)間協(xié)助網(wǎng)站檢測修復(fù)漏洞；

        360網(wǎng)站衛(wèi)士則為站長免費(fèi)提供網(wǎng)站防火墻、DDOS保護(hù)、CC保護(hù)、智能DNS解析、盜鏈保護(hù)、頁面壓縮、緩存加速和永久在線等服務(wù)。

來源：來源: 中國站長站

• 

  廣告合作

• 

  QQ群號(hào)：4114653