日前,第三方漏洞報告平臺烏云曝出國內(nèi)知名網(wǎng)店系統(tǒng)ECShop GBK版本存在高危SQL注入漏洞,(http://wooyun.org/bugs/wooyun-2010-09463),黑客利用此漏洞可獲得管理員賬號密碼,竊取網(wǎng)站數(shù)據(jù)。360網(wǎng)站安全檢測平臺對注冊網(wǎng)站檢測發(fā)現(xiàn),國內(nèi)3000余個網(wǎng)站存在此漏洞,是近期流行度最高的漏洞之一。目前,360已獨家提供了應(yīng)對該漏洞的臨時解決方案。
360網(wǎng)站安全檢測平臺網(wǎng)址:http://webscan.360.cn
ECShop是一款基于PHP與MYSQL開發(fā)的B2C網(wǎng)店系統(tǒng),國內(nèi)大量企業(yè)及個人用戶使用ECShop建立網(wǎng)上商店。360安全專家表示,目前使用ECShopGBK版本的所有網(wǎng)站,都存在這一SQL注入漏洞,漏洞的文件為user.php。
圖1:ECShop程序中的user.php中過濾不嚴導(dǎo)致漏洞
360安全專家分析發(fā)現(xiàn),漏洞成因在于user.php文件會直接帶入SQL語句操作數(shù)據(jù)庫的用戶可控變量。由于ECShopGBK版本采用GBK 編碼(寬字符編碼),攻擊者可通過傳入半個字符的方式繞過對單引號的轉(zhuǎn)義,故而導(dǎo)致可執(zhí)行任意構(gòu)造的SQL注入語句。此外,程序?qū)? magic_quotes_gpc是否開啟也做出了判斷,攻擊者可利用相同注入語句進行注入,并通過MD5解密工具對MD5密文進行破解得到明文賬號密碼,從而竊取網(wǎng)站任意數(shù)據(jù)。
圖2:寬字節(jié)SQL注入利用漏洞
由于ECShop官方尚未針對此高危SQL注入漏洞發(fā)布修復(fù)補丁,所以360網(wǎng)站安全檢測平臺已不僅第一時間向旗下網(wǎng)站發(fā)出警告郵件,還同時提供了臨時解決方案(附錄),建議站長和網(wǎng)站管理員盡快手動修復(fù),同時推薦使用360網(wǎng)站安全檢測平臺和360網(wǎng)站衛(wèi)士,隨時掌握網(wǎng)站安全狀況。
附:360獨家提供的臨時解決方案:
在user.php文件的第276行,增加下面一行語句:
$username=str_replace(‘’‘,’‘,stripslashes($username));
關(guān)于360網(wǎng)站安全服務(wù)
360為站長提供免費的網(wǎng)站安全解決方案,包括360網(wǎng)站安全檢測平臺和360網(wǎng)站衛(wèi)士:
360網(wǎng)站安全檢測平臺是國內(nèi)首個集網(wǎng)站漏洞檢測、網(wǎng)站掛馬監(jiān)控、網(wǎng)站篡改監(jiān)控于一體的免費檢測平臺,擁有全面的網(wǎng)站漏洞庫及蜜罐集群檢測系統(tǒng),能夠第一時間協(xié)助網(wǎng)站檢測修復(fù)漏洞;
360網(wǎng)站衛(wèi)士則為站長免費提供網(wǎng)站防火墻、DDOS保護、CC保護、智能DNS解析、盜鏈保護、頁面壓縮、緩存加速和永久在線等服務(wù)。
推薦閱讀
宏碁的“恐懼”:微軟借Surface欲學(xué)蘋果轉(zhuǎn)型
鮑爾默曾表達過學(xué)習(xí)蘋果整合軟硬件的想法;而在Win8發(fā)布前夕,鮑爾默還透露:微軟除Surface外還將繼續(xù)做其他硬件產(chǎn)品。無論宏碁如何反對,微軟轉(zhuǎn)型欲望的嘗試都不可能會終止。 Win8上市四天后,就已經(jīng)售出了400萬套,>>>詳細閱讀
本文標題:ECShop曝高危SQL注入漏洞 360首推臨時解決方案
地址:http://www.sdlzkt.com/a/xie/20121229/112140.html
網(wǎng)友點評
精彩導(dǎo)讀
科技快報
品牌展示