首页
我的博客
写文章
登录
注册
网站导航
互站首页
源码集市
服务市场
域名交易
网站交易
任务大厅
商家专区
互站社区
ecshop 全系列版本网站漏洞 远程代码执行sql注入漏洞
转载
酷圈网源码商城
2018-10-06 15:02:44
评论(0)
阅读(507)
ecshop漏洞于2018年9月12日被某安全组织披露爆出,该漏洞受影响范围较广,ecshop2.73版本以及目前最新的3.0、3.6、4.0版本都受此次ecshop漏洞的影响,主要漏洞是利用远程代码执行sql注入语句漏洞,导致可以插入sql查询代码以及写入代码到网站服务器里,严重的可以直接获取服务器的管理员权限,甚至有些网站使用的是虚拟主机。 可以直接获取网站ftp的权限,该漏洞POC已公开,使用简单,目前很多商城网站都被攻击,危害较大,针对于此我们SINE安全对该ECSHOP漏洞的详情以及如何修复网站的漏洞,及如何部署网站安全等方面进行详细的解读。 **ecshop漏洞产生原因** 全系列版本的ecshop网站漏洞,漏洞的根源是在网站根目录下的user.php代码,在调用远程函数的同时display赋值的地方可以直接插入恶意的sql注入语句,导致可以查询mysql数据库里的内容并写入数据到网站配置文件当中,或者可以让数据库远程下载文件到网站目录当中去。 ![](https://img.huzhan.com/blog/20181006/20181538808267464.png) ![](https://img.huzhan.com/blog/20181006/20181538808277647.png) ![](https://img.huzhan.com/blog/20181006/20181538808282975.png) ![](https://img.huzhan.com/blog/20181006/20181538808286515.png) 此referer里的内容就是要网站远程下载一个脚本大马,下载成功后会直接命名为SINE.php,攻击者打开该文件就可以执行对网站的读写上传下载等操作,甚至会直接入侵服务器,拿到服务器的管理员权限。 漏洞详见:http://ringk3y.com/2018/08/31/ecshop2-x%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C/ **ecshop漏洞修复** 目前ecshop官方并没有升级任何版本,也没有告知漏洞补丁,我们SINE安全公司建议各位网站的运营者对网站配置目录下的lib_insert.php里的id以及num的数据转换成整数型,或者是将网站的user.php改名,停止用户管理中心的登录,或者找专业的网站安全公司去修复漏洞补丁,做好网站安全检测与部署。对网站的images目录写入进行关闭,取消images的php脚步执行权限。 官方补丁下载:http://update.shopex.com.cn/version/program/ECShop/ECShop_v2.7.3_UTF8_pactch_20180903.php 官方论坛补丁发布地址:http://bbs.ecshop.com/thread-1189867-1-1.html ![](https://img.huzhan.com/blog/20181006/20181538808290690.png)
关注下面的标签,发现更多相似文章
本文TAG标签:
分享
QQ分享
微博分享
微信扫一扫
收藏
ecshop
ecshop漏洞
远程代码
sql注入
网站漏洞
上一篇:联想集团跌逾11%怎么回事?联想集团为什么会跌这么多?联想集团跌逾11%怎么回事?联想集团为什么会跌这么多?
下一篇: 畅言评论美化代码,支持去广告去版权联想集团跌逾11%怎么回事?联想集团为什么会跌这么多?
您好,
请先
登录
!请文明评论,不得违反国家法律法规!
已有
0
条评论
酷圈网源码商城
关注
TA的店铺
26
文章
31736
人气
12
评论
0
粉丝
喜欢我的文章,请分享到朋友圈!
Ta的最新文章
百度成立新 冠辟谣联盟,用科学粉碎 冠谣言
帝国CMS使用百度API提交工具,将当天新发表的内容提交给百
延迟重磅资讯:百度JS自动推送_百度自动推送功能重新上线
最近消息 Dedecms将对企业事业单位进行商业授权收费
ASP源码测试常见问题解决流程
最近评论
正规源码素材
本店商用源**业授权才100元,tp6内核开发,好用不贵,持久更新,插件市场齐全
乐公网络
不错的,支持一下!!!
有价值源码
不错不错[微笑]收纳了
港务梦幻科技
走过路过 决定还是错过
港务梦幻科技
走过路过 决定还是错过
标签大全
sql
(3)
ecshop
(3)
php
(2)
百度
(2)
css
(2)
cookie
(2)
服务器
(2)
asp
(2)
错误
(2)
div限制字数
(1)
set
(1)
一句话
(1)
代码
(1)
超出部分
(1)
批量替换
(1)
eval
(1)
淘宝分类
(1)
session
(1)
关闭
(1)
省略号
(1)
阅读目录
已有 0 条评论