360安全檢測消息報,360安全中心的網站安全檢測平臺獨家發現網店系統ECShop支付寶插件存在高危0day漏洞。這一漏洞可以使黑客隨便進入數據庫做危險動作,其中包括獲取網站重新資料。做為電子商務免費的平臺,ECSHOP的普及率非常大,如果被人利用,將產生不小的影響,對此漏洞,360安全中心給出了解決方案。
據360安全技術人員分析,這次出現的ECShop漏洞存在于/includes/modules/payment/alipay.php文件中,這個是支付寶的支付組件。因為ECShop源碼過渡使用了str_replace函數做字符串替換,黑客可繞過單引號限制構造SQL注入語句。只要開啟支付寶支付插件就能利用該漏洞獲取網站數據,且不需要注冊登入。ECSHOP的的版本同時都有這個漏洞,包括GBK與UTF-8。
這一漏洞發現不久,ECShop官網已經發布相關程序補丁。360網站安全檢測平臺也第一時間向注冊用戶發送了告警郵件,提醒用戶盡快打補丁,防止黑客拖庫攻擊。同時,360安全工程師建議網站管理員及個人站長使用360網站安全檢測平臺對網站進行全面體檢,掌握網站安全狀況,并使用360網站衛士防御黑客攻擊。簡單的辦法,建議您盡快到ECSHOP官網升級最新補丁,免得事后麻煩哦。
轉載請注明出處: http://www.fengxinye.com/html/201302/19158.html