ECShop曝高危SQL注入漏洞 360首推臨時解決方案
來源:網上生意 2012-11-12
360網站安全檢測平臺對注冊網站檢測發現,國內3000余個網站存在此漏洞,是近期流行度最高的漏洞之一
日前,第三方漏洞報告平臺烏云曝出國內知名網店系統ECShopGBK版本存在高危SQL注入漏洞,(http://wooyun.org/bugs/wooyun-2010-09463),黑客利用此漏洞可獲得管理員賬號密碼,竊取網站數據目前,360已獨家提供了應對該漏洞的臨時解決方案
360網站安全檢測平臺網址:http://webscan.360.cn
ECShop是一款基于PHP與MYSQL開發的B2C網店系統,國內大量企業及個人用戶使用ECShop建立網上商店360安全專家表示,目前使用ECShopGBK版本的所有網站,都存在這一SQL注入漏洞,漏洞的文件為user.php
圖1:ECShop程序中的user.php中過濾不嚴導致漏洞
360安全專家分析發現,漏洞成因在于user.php文件會直接帶入SQL語句操作數據庫的用戶可控變量由于ECShopGBK版本采用GBK編碼(寬字符編碼),攻擊者可通過傳入半個字符的方式繞過對單引號的轉義,故而導致可執行任意構造的SQL注入語句此外,程序對magic_quotes_gpc是否開啟也做出了判斷,攻擊者可利用相同注入語句進行注入,并通過MD5解密工具對MD5密文進行破解得到明文賬號密碼,從而竊取網站任意數據
圖2:寬字節SQL注入利用漏洞
由于ECShop官方尚未針對此高危SQL注入漏洞發布修復補丁,所以360網站安全檢測平臺已不僅第一時間向旗下網站發出警告郵件,還同時提供了臨時解決方案(附錄),建議站長和網站管理員盡快手動修復,同時推薦使用360網站安全檢測平臺和360網站衛士,隨時掌握網站安全狀況
附:360獨家提供的臨時解決方案:
在user.php文件的第276行,增加下面一行語句:
$username=str_replace('\'','',stripslashes($username));
關于360網站安全服務
360為站長提供免費的網站安全解決方案,包括360網站安全檢測平臺和360網站衛士:
360網站安全檢測平臺是國內首個集網站漏洞檢測、網站掛馬監控、網站篡改監控于一體的免費檢測平臺,擁有全面的網站漏洞庫及蜜罐集群檢測系統,能夠第一時間協助網站檢測修復漏洞;
360網站衛士則為站長免費提供網站防火墻、DDOS保護、CC保護、智能DNS解析、盜鏈保護、頁面壓縮、緩存加速和永久在線等服務
關于奇虎360科技有限公司
奇虎360(NYSE:QIHU)是中國第一大互聯網安全服務提供商按照用戶數量計算,目前奇虎360是中國第三大互聯網公司作為“免費安全”的首創者,奇虎360為近4億中國互聯網用戶提供領先的互聯網和無線安全產品及服務,覆蓋率近90%奇虎360通過提供細致、完善的平臺服務以及網絡安全服務,以開放平臺實現商業價值,與合作伙伴共同建立起多方共贏的互聯網生態體系
文章編輯: 365webcall網上客服軟件(www.365webcall.com)
我的評論
| 登錄賬號: | 密碼: | 快速注冊 | 找回密碼 |  |
