SHOPEX 노출 SQL 주입 사이트 "드래그 라이브러리" 위협

중간 트랜잭션 http://www.aliyun.com/zixun/aggregation/6858.html "> seo 진단 Taobao 게스트 클라우드 호스트 기술 홀

최근, 구름 플랫폼 ShopEx4.8.5 버전 SQL 주입 취약점 (http://www.wooyun.org/bugs/wooyun-2010-08597)의 존재의 말을 누설, 해커 사용이 취약점 웹 마 스 터 암호를 얻을 하 고 다음 웹 서버를 제어할 수 사용자 계정 암호 (또한 "드래그 도서관")를 훔쳐. 360 웹 사이트 보안 검색 플랫폼 Shopex 사이트 사용자의 대다수는 주로 전자 상거래 카테고리가 게에 대 한이 허점을 발견.

360 웹사이트 보안 검사 플랫폼 서비스 웹사이트: http://webscan.360.cn

Shopex 쇼핑 소프트웨어의 높은 시장 점유율, 브랜드 몰 뿐만 아니라 잘 알려진 쇼핑몰, 유통 사이트, 수 역 및 관리 Shopex를 사용 하는. SQL 주입은 가장 일반적인 사이트 위험이 높은 취약점, SQL 주입 취약점 CSDN 및 다른 웹 사이트 전에 누수 관련 주로. 해커는 Shopex 취약점 관리자 MD5 암호를 사용 하 여, 95% 이상의 얻을 원래 암호 균열 성공률은 일반적으로 충돌을 수 있습니다.

360 웹 사이트 보안 검색 플랫폼 분석, shopexsql 주입 취약점 리드 코어 함수는: coremodel_v5tradingmdl.goods.php (그림 1)

그림 1: 핵심 함수를 Shopex에서 SQL 주입 취약점을 일으킬

그림 2: 함수를 호출

(그림 2)는 coreshopcontrollerctl.product.php 파일에 함수 호출 됩니다.

취약점에 영향을 미치는 다 수의 사용자, 그리고이 사이트는 더 유해 하기 때문에, 360 보안 검색 플랫폼 사용자 들에 게 처음에 경고 메시지를 전송 하 고 모든 Shopex 사용자가 즉시 복구, 패치 제공 공식 설치 다운로드를 사용 하 고 정기적으로 언제 든 지 제어 360 보안 테스트 서비스 사용을 권장 합니다

Shopex 공식 패치 다운로드 주소: http://bbs.shopex.cn/read.php?tid-269636.html

약 360 웹사이트 보안 검사 플랫폼 (서비스 URL: http://webscan.360.cn)

360 사이트 보안 테스트 플랫폼은 웹 사이트 취약점 탐지, 매달려 말 모니터링 웹사이트, 무료 테스트 플랫폼 중 하나에 모니터링을 변조 하는 웹 사이트의 첫 번째 집합, 포괄적인 웹 사이트 취약점 및 팟 클러스터 탐지 시스템, 수 사이트 검색을 지원 하기 위해 처음으로 복구 허점. 2011, 360 사이트 보안 모니터링 플랫폼 협력은 360 그룹과 그룹 구매 웹사이트를 향상 웹사이트를 구매 하는 주류 그룹의 국내 수백 무료 웹사이트 결함 탐지 서비스를 제공 하며 수리 제안에 대 한 탐색, 구매 전반적인 보안 수준.