旧版ECShop漏洞影响众多B2C商城 360提示网站升级系统

作者: 来源:未知 2012-03-29 16:46:44 阅读 我要评论 直达商品

  3月29日,360网站安全检测平台发布漏洞警报称,国内大量B2C网上商城正面临高危漏洞威胁,可能导致网站被黑客入侵控制、消费者帐号密码等数据泄露。据悉,这部分网站使用了老版本ECShop网店建站系统,至今未修复一个曝光多年的“本地文件包含漏洞”,为此360网站安全检测平台已通知客户升级ECShop版本,并提供更便捷的代码修复方案。

  360网站安全检测平台服务网址:http://webscan.360.cn

  据了解,ECShop是业界知名的B2C开源网店系统,适合企业及个人快速构建个性化网上商城。早在2010年4月,ECShop官方版本修复了“本地文件包含漏洞”,但由于大批网站欠缺安全意识,迟迟没有升级到V2.7.2及以上版本,因此才会给黑客长期攻击漏洞的机会,这部分网站比例高达40%。

  经360安全工程师分析,旧版ECShop漏洞源于js/calendar/calendar.php文件,“由于$lang变量的检测不严。黑客可以绕过一些逻辑判断,将恶意字符串带入include_once包含语句,造成‘本地文件包含漏洞’利用。”


 

  图:360WebScan分析旧版ECShop“本地文件包含漏洞”

  360安全工程师表示,黑客借该漏洞可能获取网站服务器内敏感信息,甚至执行任意代码,进而获取应用程序和服务器权限,对B2C电商网站用户数据和账户信息形成威胁。同时由于漏洞曝光日久,漏洞原理和攻击方法已广泛传开,这类“老漏洞”往往更容易吸引大批黑客入侵。

  为保护电商网站业务和消费者数据安全,360建议使用旧版ECShop系统的电商网站立即升级至官方最新版本,或修改代码来封堵漏洞,方法如下:

  打开js/calendar/calendar.php文件,找到文件判断位置:

  if(!file_exists('../languages/'.$lang.'/calendar.php'))

  {

  $lang='zh_cn';

  }

  按照ECShop官方解决方案将if语句修改为:

  if(!file_exists('../languages/'.$lang.'/calendar.php')||strrchr($lang,'.'))

  或采取360解决方案修改代码如下:

  if(!file_exists('../languages/'.$lang.'/calendar.php')||!in_array($lang,array("en_us","zh_cn","zh_tw"),true))

 


  推荐阅读

  360安全浏览器5.0版三道装甲 有效抵制病毒入侵

360安全浏览器5.0版三道装甲 有效抵制病毒入侵>>>详细阅读


本文标题:旧版ECShop漏洞影响众多B2C商城 360提示网站升级系统

地址:http://www.lgo100.com/a/11/20120329/46097.html

乐购科技部分新闻及文章转载自互联网,供读者交流和学习,若有涉及作者版权等问题请及时与我们联系,以便更正、删除或按规定办理。感谢所有提供资讯的网站,欢迎各类媒体与乐购科技进行文章共享合作。

网友点评
我的评论: 人参与评论
验证码: 匿名回答
网友评论(点击查看更多条评论)
友情提示: 登录后发表评论,可以直接从评论中的用户名进入您的个人空间,让更多网友认识您。
自媒体专栏

评论

热度