English
 电子信箱
 加入收藏

  威盾防火墙 >> 支持与下载 >> 技术文章 >> ShopEx曝SQL注入漏洞电商网站面临“拖库”威胁

 

ShopEx曝SQL注入漏洞电商网站面临“拖库”威胁

威盾防火墙 2015-01-06

 

 近日,乌云漏洞平台爆料称ShopEx4.8.5版存在SQL注入漏洞(http://www.wooyun.org/bugs/wooyun-2010-08597),黑客利用该漏洞可获得网站管理员密码,进而控制网站服务器,窃取用户帐号密码(又称为“拖库”)。360网站安全检测平台发现,目前绝大多数ShopEx网站用户均存在该漏洞,主要为电子商务类网店。

  360网站安全检测平台服务网址:http://webscan.360.cn

  ShopEx是国内市场占有率最高的网店软件之一,众多知名商城网店、分销网站,以及品牌商城均使用ShopEx建站并进行管理。SQL注入则是最常见的网站高危漏洞,之前CSDN等网站泄密大多与SQL注入漏洞有关。黑客利用ShopEx的漏洞获取管理员MD5密码后,可碰撞破解获得原始密码,破解成功率一般在95%以上。

  360网站安全检测平台分析认为,导致ShopExSQL注入漏洞的核心函数是:coremodel_v5tradingmdl.goods.php(图1)

  

点击查看原图

  图1:导致ShopEx存在SQL注入漏洞的核心函数

  

点击查看原图

  图2:函数被调用

  (图2)中的函数在coreshopcontrollerctl.product.php文件中被调用。

  由于漏洞影响用户众多,且对网站危害较大,所以360安全检测平台在第一时间向旗下用户发送了告警邮件,同时建议所有使用ShopEx用户立即下载安装官方提供的补丁进行修复,并定期使用360安全检测服务随时掌控网站安全状态。


相关内容: 最新内容:
研究发现:黑客论坛讨论最多的是DDoS和SQL注入[2015-01-06]
超强JSP防SQL注入攻击[2015-01-06]
SQL注入中的WAF绕过技术[2015-01-06]
十大关系数据库SQL注入工具一览[2015-01-06]
数据库安全审计应用实践——追查数据库SQL注入30小时[2015-01-06]
好用的asp防SQL注入代码[2015-01-06]
研究发现:黑客论坛讨论最多的是DDoS和SQL注入[2015-01-06]
超强JSP防SQL注入攻击[2015-01-06]
防止Web应用威胁任重道远[2015-01-06]
SQL注入中的WAF绕过技术[2015-01-06]
保护应用程序安全成企业迫在眉睫问题[2015-01-06]
十大关系数据库SQL注入工具一览[2015-01-06]