3月29日，360網(wǎng)站安全檢測平臺發(fā)布漏洞警報稱，國內(nèi)大量B2C網(wǎng)上商城正面臨高危漏洞威脅，可能導致網(wǎng)站被黑客入侵控制、消費者帳號密碼等數(shù)據(jù)泄露。據(jù)悉，這部分網(wǎng)站使用了老版本ECShop網(wǎng)店建站系統(tǒng)，至今未修復一個曝光多年的“本地文件包含漏洞”，為此360網(wǎng)站安全檢測平臺已通知客戶升級ECShop版本，并提供更便捷的代碼修復方案。

　　360網(wǎng)站安全檢測平臺服務網(wǎng)址：http://webscan.360.cn

　　據(jù)了解，ECShop是業(yè)界知名的B2C開源網(wǎng)店系統(tǒng)，適合企業(yè)及個人快速構(gòu)建個性化網(wǎng)上商城。早在2010年4月，ECShop官方版本修復了“本地文件包含漏洞”，但由于大批網(wǎng)站欠缺安全意識，遲遲沒有升級到V2.7.2及以上版本，因此才會給黑客長期攻擊漏洞的機會，這部分網(wǎng)站比例高達40%。

　　經(jīng)360安全工程師分析，舊版ECShop漏洞源于js/calendar/calendar.php文件，“由于$lang變量的檢測不嚴。黑客可以繞過一些邏輯判斷，將惡意字符串帶入include_once包含語句，造成‘本地文件包含漏洞’利用。”

 

　　圖：360WebScan分析舊版ECShop“本地文件包含漏洞”

　　360安全工程師表示，黑客借該漏洞可能獲取網(wǎng)站服務器內(nèi)敏感信息，甚至執(zhí)行任意代碼，進而獲取應用程序和服務器權(quán)限，對B2C電商網(wǎng)站用戶數(shù)據(jù)和賬戶信息形成威脅。同時由于漏洞曝光日久，漏洞原理和攻擊方法已廣泛傳開，這類“老漏洞”往往更容易吸引大批黑客入侵。

　　為保護電商網(wǎng)站業(yè)務和消費者數(shù)據(jù)安全，360建議使用舊版ECShop系統(tǒng)的電商網(wǎng)站立即升級至官方最新版本，或修改代碼來封堵漏洞，方法如下：

　　打開js/calendar/calendar.php文件，找到文件判斷位置：

　　if(!file_exists('../languages/'.$lang.'/calendar.php'))

　　{

　　$lang='zh_cn';

　　}

　　按照ECShop官方解決方案將if語句修改為：

　　if(!file_exists('../languages/'.$lang.'/calendar.php')||strrchr($lang,'.'))

　　或采取360解決方案修改代碼如下：

　　if(!file_exists('../languages/'.$lang.'/calendar.php')||!in_array($lang,array("en_us","zh_cn","zh_tw"),true))

　　推薦閱讀

　　360安全瀏覽器5.0版三道裝甲 有效抵制病毒入侵

360安全瀏覽器5.0版三道裝甲 有效抵制病毒入侵>>>詳細閱讀

本文標題：舊版ECShop漏洞影響眾多B2C商城 360提示網(wǎng)站升級系統(tǒng)

地址：http://www.sdlzkt.com/a/11/20120329/46097.html

 1/2    1  2 下一頁