360独家发现并协助修复ECShop高危漏洞

时间:2013-02-18 18:09

ECShop支付插件曝0day漏洞 360协助修复

360网站安全检测独家发现并协助修复ECShop支付插件高危漏洞

近日,360网站安全检测平台独家发现网店系统ECShop支付宝插件存在高危0day漏洞。黑客可利用SQL注入绕过系统限制获取网站数据,进而实施“拖库”窃取网站资料。由于ECShop与电子商务关系密切,涉及网上钱财交易,一旦该漏洞被大范围利用,将造成严重后果。对此,360已于第一时间向ECShop通报了该漏洞细节并协助推出官方修复补丁。

360网站安全检测平台服务网址:http://webscan.360.cn

ECShop是一款热门的B2C网店建站系统,国外很多知名企业和个人用户都在使用ECShop建立电商网站。据悉,360此次发现的漏洞存在于所有版本的ECShop系统中,大量电商网站面临被拖库的风险。


图1:黑客可用str_replace函数绕过单引号限制实施SQL注入

据360安全工程师分析,此次出现的ECShop系统SQL注入漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ecshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入。GBK与UTF-8版本ECshop均存在此漏洞。


图2:构造SQL语句可查询后台管理用户密码

目前,ECShop官网已经发布官方修复程序。360网站安全检测平台也第一时间向注册用户发送了告警邮件,提醒用户尽快打补丁,防止黑客拖库攻击。同时,360安全工程师建议网站管理员及个人站长使用360网站安全检测平台对网站进行全面体检,掌握网站安全状况,并使用360网站卫士防御黑客攻击。

临时解决方案:

1.关闭支付宝插件

2.修改/includes/modules/payment/alipay.php文件中

$order_sn = str_replace($_GET['subject'], '',$_GET['out_trade_no']);

$order_sn = trim($order_sn);

修改成如下代码

$order_sn = str_replace($_GET['subject'], '',$_GET['out_trade_no']);

$order_sn = trim(addslashes($order_sn));

 

ECShop官方补丁程序下载地址(推荐):

http://bbs.ecshop.com/viewthread.php?tid=1125380&extra=page=1&orderby=replies&filter=172800

 

关于360网站安全服务

360为站长提供免费的网站安全解决方案,包括360网站安全检测平台和360网站卫士:

360网站安全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台,拥有全面的网站漏洞库及蜜罐集群检测系统,能够第一时间协助网站检测修复漏洞;

360网站卫士则为站长免费提供网站防火墙、DDOS保护、CC保护、智能DNS解析、盗链保护、页面压缩、缓存加速和永久在线等服务。

关于奇虎360科技有限公司

360(NYSE:QIHU)是中国领先的互联网安全服务提供商。按照用户数量计算,目前360是中国前三大互联网公司之一。据第三方数据显示,作为互联网“免费安全”的首创者,360为逾4亿中国互联网用户提供领先的互联网和无线安全产品及服务,用户渗透率逾90%。360通过提供细致、完善的平台服务以及网络安全服务,以开放平台实现商业价值,与合作伙伴共同建立起多方共赢的互联网生态体系。