360网站安全协助ECSHOP修复二次注入高危漏洞
发布时间:2020-02-19 04:07:21
阅读:次
来源:插销厂家
ECSHOP是热门电商建站系统,很多知名电商都在使用。如果系统出现漏洞,被入侵甚至拖库,将给网站和用户带来巨大损失。近日,360网站安全第三方漏洞收集平台收到白帽子提交的ECSHOP二次注入高危漏洞,黑客可以利用此漏洞直接执行SQL语句,可以获取数据、修改数据、删除数据,甚至写入后门,进而控制服务器。对此,360已于第一时间向ECSHOP通报了该漏洞细节并协助推出了官方修复补丁,请使用该建站程序的网站站长尽快修复。补丁地址:http://bbs.ecshop.com/thread-1131753-1-1.html
“360第三方漏洞收集平台”是360公司推出的漏洞悬赏项目,以现金奖励方式征集开源建站系统漏洞,用以帮助软件公司和开发者及时推出漏洞补丁,加强国内网站对黑客攻击“拖库”的防范能力。已经协助多家厂商修复了漏洞,涉及Discuz!、ShopEx、ECShop、PHPWind、PHPCMS、DEDECMS等知名建站系统。 对于无法立刻修复漏洞的网站,建议启用360免费网站防护产品—360网站卫士,可以帮助网站防入侵、防攻击、防篡改,而且可以快速配置。地址:http://wangzhan.360.cn/
附:漏洞原理:
漏洞存在mobile页面,由于用户注册能使用任意字符作为用户名,导致后续的二次注入漏洞,用户注册未过滤。
用构造好的语句当做用户名注册用户,存入数据库,后续会对用户名做查询操作导致产生了sql注入攻击。
漏洞利用效果
直接插入构造好的sql语句来注册用户名,然后登入
相关阅读
- 工业机器人替代人工生产线上显身手五金螺丝热打码机户外鞋组画瓷片电池修复Frc
- 技术创新推动了幕墙行业的快速进步云浮处理器收缩机引接线跳线机Frc
- Drupa2000按需印刷一条龙物理家教车衣卧式铣床旋盖机花洒软管Frc
- 蒋以任一行到上海彭浦机械公司参观调研英德绞切机橡胶模光纤线缆风批Frc
- 攻破机器人核心技术世界难题深圳超磁智造机充氮机钟祥电葫芦顶管机对讲机Frc
- 牛奶花生竟倒出油漆Av插座二连浩特墙胶厨房橱柜墙贴Frc
- 价格飙升中国铁矿石交易商遭遇了什么小额贷款空调配件地板辅料双绞线鞭炮Frc
- 热熔胶是绿色环保的吗宣城发热电缆母线槽男装外套石油机械Frc
- 如何注意轮毂轴承的维护与保养工作活性染料隔离栅客车废锌旋转气缸Frc
- 积极型包装的设计方案下座厕肚兜铲运机冲压模陶瓷板Frc