日韩欧美综合-国产色影院-黄色欧美大片-奶茶视频黄色-无码粉嫩虎白一线天在线观看-亚洲天堂手机在线-亚洲欧美日本在线-日本特级黄色-亚洲tv在线-婷婷激情综合-亚洲精品无-成人免费黄色-亚洲色图久久久-色噜噜狠狠狠综合曰曰曰-精品久久久精品-蜜臀av在线播放-国产美女高潮流白浆视频

ECShop是一款基于PHP與MYSQL開(kāi)發(fā)的B2C網(wǎng)店系統(tǒng)，國(guó)內(nèi)大量企業(yè)及個(gè)人用戶使用ECShop建立網(wǎng)上商店。360安全專家表示，目前使用ECShopGBK版本的所有網(wǎng)站，都存在這一SQL注入漏洞，漏洞的文件為user.php。

日前，第三方漏洞報(bào)告平臺(tái)烏云曝出國(guó)內(nèi)知名網(wǎng)店系統(tǒng)ECShop GBK版本存在高危SQL注入漏洞，（http://wooyun.org/bugs/wooyun-2010-09463），黑客利用此漏洞可獲得管理員賬號(hào)密碼，竊取網(wǎng)站數(shù)據(jù)。360網(wǎng)站安全檢測(cè)平臺(tái)對(duì)注冊(cè)網(wǎng)站檢測(cè)發(fā)現(xiàn)，國(guó)內(nèi)3000余個(gè)網(wǎng)站存在此漏洞，是近期流行度最高的漏洞之一。目前，360已獨(dú)家提供了應(yīng)對(duì)該漏洞的臨時(shí)解決方案。

360網(wǎng)站安全檢測(cè)平臺(tái)網(wǎng)址：http://webscan.#

ECShop是一款基于PHP與MYSQL開(kāi)發(fā)的B2C網(wǎng)店系統(tǒng)，國(guó)內(nèi)大量企業(yè)及個(gè)人用戶使用ECShop建立網(wǎng)上商店。360安全專家表示，目前使用ECShopGBK版本的所有網(wǎng)站，都存在這一SQL注入漏洞，漏洞的文件為user.php。

圖1：ECShop程序中的user.php中過(guò)濾不嚴(yán)導(dǎo)致漏洞

360安全專家分析發(fā)現(xiàn)，漏洞成因在于user.php文件會(huì)直接帶入SQL語(yǔ)句操作數(shù)據(jù)庫(kù)的用戶可控變量。由于ECShopGBK版本采用GBK 編碼（寬字符編碼），攻擊者可通過(guò)傳入半個(gè)字符的方式繞過(guò)對(duì)單引號(hào)的轉(zhuǎn)義，故而導(dǎo)致可執(zhí)行任意構(gòu)造的SQL注入語(yǔ)句。此外，程序?qū)? magic_quotes_gpc是否開(kāi)啟也做出了判斷，攻擊者可利用相同注入語(yǔ)句進(jìn)行注入，并通過(guò)MD5解密工具對(duì)MD5密文進(jìn)行破解得到明文賬號(hào)密碼，從而竊取網(wǎng)站任意數(shù)據(jù)。

圖2：寬字節(jié)SQL注入利用漏洞

由于ECShop官方尚未針對(duì)此高危SQL注入漏洞發(fā)布修復(fù)補(bǔ)丁，所以360網(wǎng)站安全檢測(cè)平臺(tái)已不僅第一時(shí)間向旗下網(wǎng)站發(fā)出警告郵件，還同時(shí)提供了臨時(shí)解決方案（附錄），建議站長(zhǎng)和網(wǎng)站管理員盡快手動(dòng)修復(fù)，同時(shí)推薦使用360網(wǎng)站安全檢測(cè)平臺(tái)和360網(wǎng)站衛(wèi)士，隨時(shí)掌握網(wǎng)站安全狀況。

附：360獨(dú)家提供的臨時(shí)解決方案：

在user.php文件的第276行，增加下面一行語(yǔ)句：

$username=str_replace（‘’‘，’‘，stripslashes（$username））;

關(guān)于360網(wǎng)站安全服務(wù)

360為站長(zhǎng)提供免費(fèi)的網(wǎng)站安全解決方案，包括360網(wǎng)站安全檢測(cè)平臺(tái)和360網(wǎng)站衛(wèi)士：

360網(wǎng)站安全檢測(cè)平臺(tái)是國(guó)內(nèi)首個(gè)集網(wǎng)站漏洞檢測(cè)、網(wǎng)站掛馬監(jiān)控、網(wǎng)站篡改監(jiān)控于一體的免費(fèi)檢測(cè)平臺(tái)，擁有全面的網(wǎng)站漏洞庫(kù)及蜜罐集群檢測(cè)系統(tǒng)，能夠第一時(shí)間協(xié)助網(wǎng)站檢測(cè)修復(fù)漏洞；

360網(wǎng)站衛(wèi)士則為站長(zhǎng)免費(fèi)提供網(wǎng)站防火墻、DDOS保護(hù)、CC保護(hù)、智能DNS解析、盜鏈保護(hù)、頁(yè)面壓縮、緩存加速和永久在線等服務(wù)。

　　推薦閱讀

　　宏碁的“恐懼”：微軟借Surface欲學(xué)蘋(píng)果轉(zhuǎn)型

鮑爾默曾表達(dá)過(guò)學(xué)習(xí)蘋(píng)果整合軟硬件的想法；而在Win8發(fā)布前夕，鮑爾默還透露：微軟除Surface外還將繼續(xù)做其他硬件產(chǎn)品。無(wú)論宏碁如何反對(duì)，微軟轉(zhuǎn)型欲望的嘗試都不可能會(huì)終止。 Win8上市四天后，就已經(jīng)售出了400萬(wàn)套，>>>詳細(xì)閱讀

本文標(biāo)題：ECShop曝高危SQL注入漏洞 360首推臨時(shí)解決方案

地址：http://www.sh-jijian.com/a/xie/20121229/112140.html

 1/2    1  2 下一頁(yè)