您的位置: 福建信息网 > 游戏

360網站安全協助ECSHOP修復二次注

发布时间:2019-11-09 09:49:18

ECSHOP是热门电商建站系统,很多知名电商都在使用如果系統出現漏洞,被入侵甚至拖庫,將給站和用戶帶來巨大損失近日,360站安全第三方漏洞收集平台收到白帽子提交的ECSHOP二次注入高危漏洞,黑客可以利用此漏洞直接执行SQL语句,可以获取数据、修改数据、删除数据,甚至写入后门,进而控制服务器对此,360已于第一时间向ECSHOP通报了该漏洞细节并协助推出了官方修复补丁,请使用该建站程序的站站长尽快修复补丁地址:

360第三方漏洞收集平台是360公司推出的漏洞悬赏项目,以现金奖励方式征集开源建站系统漏洞,用以帮助软件公司和开发者及时推出漏洞补丁,加强国内站对黑客攻击拖库的防范能力已经协助多家厂商修复了漏洞,涉及Discuz!、ShopEx、ECShop、PHPWind、PHPCMS、DEDECMS等知名建站系统

对于无法立刻修复漏洞的站,建议启用360免费站防护产品360站卫士,可以帮助站防入侵、防攻击、防篡改,而且可以快速配置地址:

附:漏洞原理:

漏洞存在mobile页面,由于用户注册能使用任意字符作为用户名,导致后续的二次注入漏洞,用户注册未过滤

用构造好的语句当做用户名注册用户,存入数据库,后续会对用户名做查询操作导致产生了sql注入攻击

漏洞利用效果

直接插入构造好的sql语句来注册用户名,然后登入

生物谷
生物谷
生物谷药业
猜你会喜欢的
猜你会喜欢的