舊版ECShop漏洞影響眾多B2C商城 360提示網站升級系統

3月29日，360網站安全檢測平臺發佈漏洞警報稱，國內大量B2C網上商城正面臨高危漏洞威脅，可能導致網站被駭客入侵控制、消費者帳號密碼等資料洩露。 據悉，這部分網站使用了老版本ECShop網店建站系統，至今未修復一個曝光多年的「本地檔包含漏洞」，為此360網站安全檢測平臺已通知客戶升級ECShop版本，並提供更便捷的代碼修復方案。 360網站安全檢測平臺服務網址：HTTP://webscan.360.cn據瞭解，ECShop是業界知名的B2C開源網店系統，適合企業及個人快速構建個人化網上商城。 早在2010年4月，ECShop官方版本修復了「本地檔包含漏洞」，但由於大批網站欠缺安全意識，遲遲沒有升級到V2.7.2及以上版本，因此才會給駭客長期攻擊漏洞的機會，這部分網站比例高達40%。 經360安全工程師分析，舊版ECShop漏洞源于js/calendar/ calendar.php 檔，「由於$lang變數的檢測不嚴。 駭客可以繞過一些邏輯判斷，將惡意字串帶入include_once包含語句，造成‘本地檔包含漏洞’利用。 」498)this.width=498;' onmousewheel = 'javascript:return big(this)' src="HTTP://images.51cto.com/files/uploadimg/ 20120329/1835480.jpg">圖：360WebScan分析舊版ECShop「本地檔包含漏洞」360安全工程師表示，駭客借該漏洞可能獲取網站伺服器內敏感資訊，甚至執行任意代碼， 進而獲取應用程式和伺服器許可權，對B2C電商網站使用者資料和帳戶資訊形成威脅。 同時由於漏洞曝光日久，漏洞原理和攻擊方法已廣泛傳開，這類「老漏洞」往往更容易吸引大批駭客入侵。 為保護電商網站業務和消費者資料安全，360建議使用舊版ECShop系統的電商網站立即升級至官方最新版本，或修改代碼來封堵漏洞，方法如下：打開 js/calendar/ calendar.php 檔，找到檔判斷位置：if (! file_exists('.. /languages/' . $lang . '/calendar.php')){$lang = 'zh_cn';} 按照ECShop官方解決方案將if語句修改為：if (!file_exists('.. /languages/' . $lang . '/calendar.php') || strrchr($lang,'.')) 或採取360解決方案修改代碼如下：if (!file_exists('.. /languages/' . $lang . '/calendar.php') || !in_array($lang,array("en_us","zh_cn","zh_tw"),true))【責任編輯：王文文 TEL：（010）68476606】 原文：舊版ECShop漏洞影響眾多B2C商城 360提示網站升級系統 返回網路安全首頁