레거시 Ecshop 취약점에 영향을 미칠 많은 360 웹 사이트 업그레이드 시스템

3 월 29, 360 웹 사이트 보안 검색 플랫폼 릴리스 취약점 경고, 온라인 쇼핑몰의 국내 다 수 위험이 높은 취약점의 위협에 직면, 웹 사이트 해커 침입 제어, 소비자 계정 암호 및 기타 데이터 누설에 의해 발생할 수 있습니다. 그것은 Ecshop 상점 역 시스템의 이전 버전을 사용 하 여 사이트의이 부분에는 노출 수리 하지는 보고 몇 년 동안, "로컬 파일 포함 취약점"이 360 웹 사이트 보안을 위해 탐지 플랫폼 Ecshop 버전을 업그레이 드 하 고 더 편리한 코드 복구 프로그램을 제공 하는 고객을 통보 했다. 360 웹사이트 보안 검사 플랫폼 서비스 URL: http://webscan.360.cn 그것은 Ecshop는 업계에서 잘 알려진 오픈 소스 이해 쇼핑 시스템, 기업과 개인을 신속 하 게 개인된 온라인 쇼핑몰 구축에 적합. 2010 년 4 월으로 일찍 Ecshop의 공식 버전 "로컬 파일 포함 취약점," 고정 하지만 많은 수의 웹 사이트 보안 인식의 부족 때문에 지연 V2.7.2과 위의 버전 업그레이드, 그것은 해커에 게이 비율 40%로 높은 사이트의 취약점을 공격 하는 장기적인 기회를 줄 것 이다. 360 보안 엔지니어 분석 후 Ecshop 취약점의 이전 버전에서에서 유래 js/calendar/calendar.php 파일 "이기 때문에 $lang 가변 검출은 요." 해커 데리고 악의적인 문자열 include_once 문이, 포함 된 '로컬 파일 포함 취약점' 이용의 결과로 몇 가지 논리적 판단을 무시할 수 있습니다. "498" this.width=498 ' OnMouseWheel 'javascript:return 큰 (이)' src = = ' http://images.51cto.com/files/uploadimg/ 20120329/1835480.jpg "> 다이어그램: 레거시 ecshop의 360WebScan 분석" 로컬 파일 포함 취약점 "360 보안 엔지니어 말했다 해커가 웹 서버에서 중요 한 정보를 얻을 하거나 심지어 임의 코드를 실행할 취약점을 사용할 수 응용 프로그램 및 서버 권한을 얻으려면, 소비자 전력 네트워크의 사용자의 사용자 데이터 및 계정 정보는 위협 된다. 같은 시간에 취약점의 긴 노출으로 인해 취약점 및 공격 방법의 원리는 널리 확산 되었습니다, 같은 "오래 된 허점"은 종종 더 많은 해커 침입을 모을 것으로 보인다. 전자 비즈니스 및 소비자 데이터 보안을 보호 하기 위해 전자 비즈니스의 Ecshop 시스템의 이전 버전의 사용을 권장 하는 360 공식의 즉시 업그레이드를 최신 버전을 사이트 또는 취약점, 다음과 같은 메서드를 연결 하는 코드를 수정: js/calendar/calendar.php 파일을 열고, 파일 위치를 찾기: if (! File_exists ('... / 언어 /'. $lang입니다. '/calendar.php') {$lang = 'zh_cn';} 에 IF 문을 수정: 만약 (! file_exists ('...) Ecshop 공식 솔루션에 따라. /languagEs /'. $lang입니다. '/calendar.php') | | STRRCHR ($lang, '. ') 또는 다음과 같이 코드를 수정 하려면 360 솔루션: 경우 (! file_exists. / 언어 /'. $lang입니다. '/calendar.php') | | ! in_array ($lang, 배열 ("en_US", "ZH_CN", "ZH_TW"), True) "책임 편집기: 5 월 왕 전화: (010) 68476606" 원래: Ecshop 취약점의 이전 버전에 영향을 미치는 많은 상업 몰 360 웹사이트 네트워크 보안 홈페이지를 반환 하도록 시스템을 업그레이드 하 라는 메시지를 표시합니다