ShopEx曝SQL注入漏洞電商網站面臨「拖庫」威脅

仲介交易 HTTP://www.aliyun.com/zixun/aggregation/6858.html">SEO診斷 淘寶客 雲主機 技術大廳

近日，烏雲漏洞平臺爆料稱ShopEx4.8.5版存在SQL注入漏洞(HTTP://www.wooyun.org/bugs/wooyun- 2010-08597)，駭客利用該漏洞可獲得網站管理員密碼，進而控制網站伺服器， 竊取使用者帳號密碼(又稱為「拖庫」)。 360網站安全檢測平臺發現，目前絕大多數ShopEx網站使用者均存在該漏洞，主要為電子商務類網店。

360網站安全檢測平臺服務網址：HTTP://webscan.360.cn

ShopEx是國內市場佔有率最高的網店軟體之一，眾多知名商城網店、分銷網站，以及品牌商城均使用ShopEx建站並進行管理。 SQL注入則是最常見的網站高危漏洞，之前CSDN等網站洩密大多與SQL注入漏洞有關。 駭客利用ShopEx的漏洞獲取管理員MD5密碼後，可碰撞破解獲得原始密碼，破解成功率一般在95%以上。

360網站安全檢測平臺分析認為，導致ShopExSQL注入漏洞的核心函數是：coremodel_v5tradingmdl.goods.php(圖1)

圖1：導致ShopEx存在SQL注入漏洞的核心函數

圖2：函數被調用

(圖2)中的函數在coreshopcontrollerctl.product.php檔中被調用。

由於漏洞影響使用者眾多，且對網站危害較大，所以360安全檢測平臺在第一時間向旗下使用者發送了告警郵件，同時建議所有使用ShopEx使用者立即下載安裝官方提供的補丁進行修復，並定期使用360安全檢測服務隨時掌控網站安全狀態。

ShopEx官方補丁下載位址：HTTP://bbs.shopex.cn/read.php?tid-269636.html

關於360網站安全檢測平臺(服務網址：HTTP://webscan.360.cn)

360網站安全檢測平臺是國內首個集網站漏洞檢測、網站掛馬監控、網站篡改監控于一體的免費檢測平臺，擁有全面的網站漏洞庫及蜜罐集群檢測系統，能夠第一時間協助網站檢測修復漏洞。 2011年，360網站安全監測平臺曾協同360團購導航，為國內數百家主流團購網站提供了免費網站漏洞檢測服務並提供修復建議，提高了團購網站整體安全水準。