360提醒站长尽快修复ECSHOP二次注入高危漏洞

门前的月光 · 2013-7-23 00:17:07

　　ECSHOP是热门电商建站系统，很多知名电商都在使用。如果系统出现漏洞，被入侵甚至拖库，将给网站和用户带来巨大损失。近日，360网站安全第三方漏洞收集平台收到白帽子提交的ECSHOP二次注入高危漏洞，黑客可以利用此漏洞直接执行SQL语句，可以获取数据、修改数据、删除数据，甚至写入后门，进而控制服务器。对此，360已于第一时间向ECSHOP通报了该漏洞细节并协助推出了官方修复补丁，请使用该建站程序的网站站长尽快修复。补丁地址：http://bbs.ecshop.com/thread-1131753-1-1.html

　　“360第三方漏洞收集平台”是360公司推出的漏洞悬赏项目，以现金奖励方式征集开源建站系统漏洞，用以帮助软件公司和开发者及时推出漏洞补丁，加强国内网站对黑客攻击“拖库”的防范能力。已经协助多家厂商修复了漏洞，涉及Discuz！、ShopEx、ECShop、PHPWind、PHPCMS、DEDECMS等知名建站系统。
　　对于无法立刻修复漏洞的网站，建议启用360免费网站防护产品—360网站卫士，可以帮助网站防入侵、防攻击、防篡改，而且可以快速配置。地址：http://wangzhan.360.cn/
　　
　　附：漏洞原理：
　　漏洞存在mobile页面，由于用户注册能使用任意字符作为用户名，导致后续的二次注入漏洞，用户注册未过滤。

		自动登录	找回密码
密码			成为会员

360提醒站长尽快修复ECSHOP二次注入高危漏洞

浏览过的版块