改360网站安全协助ECSHOP修复二次注

360站安全协助ECSHOP修复二次注入高危漏洞

ECSHOP是热门电商建站系统，很多知名电商都在使用。如果系统出现漏洞，被入侵甚至拖库，将给站和用户带来巨大损失。近日建起了多层次、全方位、立体化的现代战场络，360站安全第三方漏洞收集平台收到白帽子提交的ECSHOP二次注入高危漏洞，黑客可以利用此漏洞直接执行SQL语句，可以获取数据、修改数据、删除数据，甚至写入后门，进而控制服务器。对此，360已于第一时间向ECSHOP通报了该漏洞细节并协助推出了官方修复补丁，请使用该建站程序的站站长尽快修复。补丁地址：

360第三方漏洞收集平台是360公司推出的漏洞悬赏项目，以现金奖励方式征集开源建站系统漏洞，用以帮助软件公司和开发者及时推出漏洞补丁，加强国内站对黑客攻击拖库的防范能力。已经协助多家厂商修复了漏洞，涉及Discuz!、ShopEx、ECShop、PHPWind、PHPCMS、DEDECMS等知名建站系统。

对于无法立刻修复漏洞的但还有一些人的工作地点在旧金山和台北。站，建议启用360免费站防护产品360站卫士，可以帮助站防入侵、防攻击、防篡改，而且可以快速配置。地址：

附：漏洞原理：

漏洞存在mobile页面，由于用户注册能使用任意字符作为用户名，导致后续的二次注入漏洞，用户注册未过滤。

用构造好的语句当做用户名注册用户，存入数据库，后续会对用户名做查询操作导致产生了sql注入攻击。

漏洞利用效果

直接插入构造好的sql语句来注册用户名，然后登入

关注ITBear科技资讯公众号（itbear365 ），每天推送你感兴趣的科技内容。

特别提醒：本内容转载自其他媒体，目的在于传递更多信息，并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。