文档章节

ecshop 全系列版本网站漏洞 远程代码执行sql注入漏洞

 网站安全
发布于 2018/09/13 12:44
字数 660
阅读 83
收藏 0

ecshop漏洞于2018年9月12日被某安全组织披露爆出,该漏洞受影响范围较广,ecshop2.73版本以及目前最新的3.0、3.6、4.0版本都受此次ecshop漏洞的影响,主要漏洞是利用远程代码执行sql注入语句漏洞,导致可以插入sql查询代码以及写入代码到网站服务器里,严重的可以直接获取服务器的管理员权限,甚至有些网站使用的是虚拟主机,可以直接获取网站ftp的权限,该漏洞POC已公开,使用简单,目前很多商城网站都被攻击,危害较大,针对于此我们SINE安全对该ECSHOP漏洞的详情以及如何修复网站的漏洞,及如何部署网站安全等方面进行详细的解读。

ecshop漏洞产生原因

全系列版本的ecshop网站漏洞,漏洞的根源是在网站根目录下的user.php代码,在调用远程函数的同时display赋值的地方可以直接插入恶意的sql注入语句,导致可以查询mysql数据库里的内容并写入数据到网站配置文件当中,或者可以让数据库远程下载文件到网站目录当中去。

​此referer里的内容就是要网站远程下载一个脚本大马,下载成功后会直接命名为SINE.php,攻击者打开该文件就可以执行对网站的读写上传下载等操作,甚至会直接入侵服务器,拿到服务器的管理员权限。

ecshop漏洞修复

目前ecshop官方并没有升级任何版本,也没有告知漏洞补丁,我们SINE安全公司建议各位网站的运营者对网站配置目录下的lib_insert.php里的id以及num的数据转换成整数型,或者是将网站的user.php改名,停止用户管理中心的登录,或者找专业的网站安全公司去修复漏洞补丁,做好网站安全检测与部署。对网站的images目录写入进行关闭,取消images的php脚步执行权限。

© 著作权归作者所有

粉丝 4
博文 113
码字总数 132490
作品 0
青岛
私信 提问
ecshop 漏洞如何修复 补丁升级与安全修复详情

目前ecshop漏洞大面积爆发,包括最新版的ecshop 3.0,ecshop 4.0,ecshop2.7.3全系列版本都存在着高危网站漏洞,导致网站被黑,被篡改,被挂马,许多商城系统深受其漏洞的攻击,给商城的运营者...

网站安全
2018/09/21
0
0
ecshop漏洞修复 以及如何加固ecshop网站安全

由于8月份的ECSHOP通杀漏洞被国内安全厂商爆出后,众多使用ecshop程序源码的用户大面积的受到了网站被篡改,最明显的就是外贸站点被跳转到一些仿冒的网站上去,导致在谷歌的用户订单量迅速下降,...

网站安全
2018/10/22
0
0
怎么看网站是否被黑防止网站被黑

网站被黑,打开网站竟然跳转到博cai网站上去了,一开始以为自己看错了,多次从百度点击自己网站进去,还是会跳转到彩piao网站上,第一反应是自己的网站被黑了,经营网站很多年了,从来未遇到...

网站安全
2018/11/02
0
0
ECShop 2.7.2 最新任意用户登陆漏洞

由于最近项目需要, 查看了下商派最新发布的ECShop 2.7.2正式版的源代码, 没想到在看到第二个文件时就发现了一处比较明显, 且低级漏洞。这个漏洞可以让任何人以任何用户身份登录到ECShop前台!...

沱长
2010/05/05
5.6K
5
开源商城系统 Kshop-1.2.1 发布

2012-1-21 完成,仿的当时的绿森数码,后台仿的Ecshop,前后端独自完成 2013 年发布开源 更新: Kshop-v1.0 2013年12月 修改了大概两个星期,增加模块分组、关联查询、复合查询、分离Model层...

kaysen
2015/01/07
4.9K
11

没有更多内容

加载失败,请刷新页面

加载更多

Nginx提供下载apk服务

有时候我们可能需要提供文件或者其他apk下载链接,通过 nginx 配置可以很简单地实现。 server {    listen 80;    server_name download.xxx.com;    root app;    locati...

Jack088
11分钟前
0
0
系统监控-与应用高度耦合的Javamelody监控工具

1. 为什么不使用Javamelody? 与应用高度耦合,需要在项目中配置相关的配置文件和引入对应的依赖jar、能监控的功能有限,主要功能如下: 系统信息 可通过pdf下载监控信息 内存、CPU、磁盘、H...

秋日芒草
12分钟前
1
0
mysql基本语句

好久没用sql了,好多都忘记了,正好昨天做题碰上,今天就回顾一下吧! 0.题目如下(以下适用mysql来解答): 1.数据准备: 在notepad++(当然你可以通过其他方式来编写)中编写sql脚本如下: 2.通...

不最醉不龟归
21分钟前
0
0
前端程序员需要具备的几个软实力,你具备了吗

有很多关于前端程序员的调侃,比如“智商很高情商却很感人,思维缜密,极客,加班严重,没有对象只能new一个……”,虽然不是所有前端程序员都是这样,但这也说明了前端程序员这个群体中存在...

智云编程
21分钟前
0
0
Golang math基本数学函数

三角函数 正弦函数,反正弦函数,双曲正弦,反双曲正弦 func Sin(x float64) float64 func Asin(x float64) float64 func Sinh(x float64) float64 func Asinh(x float64) float64 一次性返回......

Sunki
54分钟前
0
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部