360网站安全检测平台协助ShopEx修

2019-05-15 04:17:08 来源: 黔江信息港

4月10日消息,360站安全检测平台透露,该平台近期协助ShopEx(商派)上商店系统修复两处高危漏洞,建议广大采用ShopEx建站系统的电商站尽快安装补丁。据介绍,ShopEx漏洞由技术高手cond0r提交给360站安全漏洞悬赏库带计划,从而推动ShopEx快速修复了漏洞。

ShopEx系统是国内市场占有率的B2C店建站系统之一,众多知名企业均使用该系统建立电商站。一旦ShopEx系统的漏洞被黑客利用,大批电商站将面临数据库被拖库、站被篡改等风险,也会对购消费者造成严重损失。360协助ShopEx修复漏洞,有助于广大电商站提升防黑能力,保护消费者的账号安全。

此次,360库带计划接到的ShopEx漏洞包括SQL注入漏洞和文件包括漏洞。其中,SQL注入漏洞直接威胁站服务器和数据库,可致使数据库被黑客拖库;文件包括漏洞则可被黑客利用获取服务器敏感文件内容,或直接执行恶意脚本等,同样具有较大危害。

据悉,360库带计划是国内第三方漏洞付费收录平台,以现金嘉奖方式征集开源建站系统漏洞,单个漏洞嘉奖金额可达1万元。自3月份库带计划启动以来,360站安全检测平台已经收集了包括DISCUZ、PHPWIND、DEDECMS、PHPCMS、齐博CMS、NetGather等多个知名建站系统的漏洞,并协助厂商及时修复。

目前,ShopEx官已经发布漏洞补丁,360站安全检测平台()也时间向注册用户发送了告警邮件,提示站长们尽快打补丁;同时建议站站长们免费启用360站卫士(,可以在官方补丁发布前有效防范各种0day漏洞攻击。

附:ShopEx上商店系统漏洞及补钉情况

ShopEx官方补钉程序下载地址:

ShopEx系统文件包括漏洞存在于/core/api/shop_p文件中的shop_api函数中:

图1:ShopEx文件包含漏洞对应的代码位置

以下是测试demo:

图2:文件包括漏洞测试效果

SQL注入漏洞存在于/core/shop/controller/p文件中的insertRec函数中:

图3:SQL注入漏洞对应的代码位置

利用SQL注入漏洞获取到用户名密码hash值:

图4:SQL注入漏洞利用效果

关于360站安全服务

360为站长提供免费的站安全解决方案,包括360站安全检测平台和360站卫士:

360站安全检测平台是国内集站漏洞检测、站挂马监控、站篡改监控于一体的免费检测平台,具有全面的站漏洞库及蜜罐集群检测系统,能够时间协助站检测修复漏洞;

360站卫士则为站长免费提供站防火墙、DDOS保护、CC保护、智能DNS解析、盗链保护、页面压缩、缓存加速和等服务。

月经量多该吃点什么好
经期延长的几种原因
女性经期小腹部胀痛
本文标签: