ECShop曝高危SQL注入漏洞 360首推臨時(shí)解決方案

來源:網(wǎng)上生意 2012-11-12

快速提升網(wǎng)站銷量，使用365webcall網(wǎng)頁(yè)客服軟件
360網(wǎng)站安全檢測(cè)平臺(tái)對(duì)注冊(cè)網(wǎng)站檢測(cè)發(fā)現(xiàn),國(guó)內(nèi)3000余個(gè)網(wǎng)站存在此漏洞,是近期流行度最高的漏洞之一

日前,第三方漏洞報(bào)告平臺(tái)烏云曝出國(guó)內(nèi)知名網(wǎng)店系統(tǒng)ECShopGBK版本存在高危SQL注入漏洞,(http://wooyun.org/bugs/wooyun-2010-09463),黑客利用此漏洞可獲得管理員賬號(hào)密碼,竊取網(wǎng)站數(shù)據(jù)目前,360已獨(dú)家提供了應(yīng)對(duì)該漏洞的臨時(shí)解決方案

360網(wǎng)站安全檢測(cè)平臺(tái)網(wǎng)址:http://webscan.#

ECShop是一款基于PHP與MYSQL開發(fā)的B2C網(wǎng)店系統(tǒng),國(guó)內(nèi)大量企業(yè)及個(gè)人用戶使用ECShop建立網(wǎng)上商店360安全專家表示,目前使用ECShopGBK版本的所有網(wǎng)站,都存在這一SQL注入漏洞,漏洞的文件為user.php

圖1:ECShop程序中的user.php中過濾不嚴(yán)導(dǎo)致漏洞

360安全專家分析發(fā)現(xiàn),漏洞成因在于user.php文件會(huì)直接帶入SQL語句操作數(shù)據(jù)庫(kù)的用戶可控變量由于ECShopGBK版本采用GBK編碼(寬字符編碼),攻擊者可通過傳入半個(gè)字符的方式繞過對(duì)單引號(hào)的轉(zhuǎn)義,故而導(dǎo)致可執(zhí)行任意構(gòu)造的SQL注入語句此外,程序?qū)�magic_quotes_gpc是否開啟也做出了判斷,攻擊者可利用相同注入語句進(jìn)行注入,并通過MD5解密工具對(duì)MD5密文進(jìn)行破解得到明文賬號(hào)密碼,從而竊取網(wǎng)站任意數(shù)據(jù)

圖2:寬字節(jié)SQL注入利用漏洞

由于ECShop官方尚未針對(duì)此高危SQL注入漏洞發(fā)布修復(fù)補(bǔ)丁,所以360網(wǎng)站安全檢測(cè)平臺(tái)已不僅第一時(shí)間向旗下網(wǎng)站發(fā)出警告郵件,還同時(shí)提供了臨時(shí)解決方案(附錄),建議站長(zhǎng)和網(wǎng)站管理員盡快手動(dòng)修復(fù),同時(shí)推薦使用360網(wǎng)站安全檢測(cè)平臺(tái)和360網(wǎng)站衛(wèi)士,隨時(shí)掌握網(wǎng)站安全狀況

附:360獨(dú)家提供的臨時(shí)解決方案:

在user.php文件的第276行,增加下面一行語句:

$username=str_replace('\'','',stripslashes($username));

關(guān)于360網(wǎng)站安全服務(wù)

360為站長(zhǎng)提供免費(fèi)的網(wǎng)站安全解決方案,包括360網(wǎng)站安全檢測(cè)平臺(tái)和360網(wǎng)站衛(wèi)士:

360網(wǎng)站安全檢測(cè)平臺(tái)是國(guó)內(nèi)首個(gè)集網(wǎng)站漏洞檢測(cè)、網(wǎng)站掛馬監(jiān)控、網(wǎng)站篡改監(jiān)控于一體的免費(fèi)檢測(cè)平臺(tái),擁有全面的網(wǎng)站漏洞庫(kù)及蜜罐集群檢測(cè)系統(tǒng),能夠第一時(shí)間協(xié)助網(wǎng)站檢測(cè)修復(fù)漏洞;

360網(wǎng)站衛(wèi)士則為站長(zhǎng)免費(fèi)提供網(wǎng)站防火墻、DDOS保護(hù)、CC保護(hù)、智能DNS解析、盜鏈保護(hù)、頁(yè)面壓縮、緩存加速和永久在線等服務(wù)

關(guān)于奇虎360科技有限公司

奇虎360(NYSE:QIHU)是中國(guó)第一大互聯(lián)網(wǎng)安全服務(wù)提供商按照用戶數(shù)量計(jì)算,目前奇虎360是中國(guó)第三大互聯(lián)網(wǎng)公司作為“免費(fèi)安全”的首創(chuàng)者,奇虎360為近4億中國(guó)互聯(lián)網(wǎng)用戶提供領(lǐng)先的互聯(lián)網(wǎng)和無線安全產(chǎn)品及服務(wù),覆蓋率近90%奇虎360通過提供細(xì)致、完善的平臺(tái)服務(wù)以及網(wǎng)絡(luò)安全服務(wù),以開放平臺(tái)實(shí)現(xiàn)商業(yè)價(jià)值,與合作伙伴共同建立起多方共贏的互聯(lián)網(wǎng)生態(tài)體系

文章編輯: 365webcall網(wǎng)上客服軟件(www.365webcall.com)

我的評(píng)論

登錄賬號(hào)：

密碼：

快速注冊(cè) | 找回密碼