这个漏洞已经被360网站检测出来,为什么官方不放个补丁啊?

2016-07-07 14:55 来源:www.chinab4c.com 作者:ecshop专家



就是注册用户在登录后填新增地址填电子邮件和地址等信息的时候,没有过滤危险的代码和符号,只要出现了@这个符号其他什么?<>等随便填,已经被360确定为高危漏洞了啊.

回答:
影响版本:
ecshop gbk v2.7.2

漏洞描述:
登录用户可以操作其它用户的信息

1.用户修改收货地址时,提交前将隐藏的address_id修改为其它的id,可将他人的收货地址消除(同时新增一条收货

地址)

2.用户虽然不能查看其它用户的订单,但可以查看非自己订单的留言,并为订单留言(更改url地址的order_id即

可)<*参考
http://www.wooyun.org/bug.php?action=view&id=43
*>

测试方法:

本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
http://localhost/ecshop_gbk272/user.php?act=address_list “确认修改”前修改address_id
http://localhost/ecshop_gbk272/user.php?act=message_list& order_id=20(任意更改id测试)SEBUG安全建议:
SEBUG临时解决办法:
执行数据库操作前严谨判断用户是否应该有查看、操作权限

厂商补丁:

ecshop
----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

好。我都不太注意这个

唉~~~无人在吗?已经的打了2012年12月27日的2.72补丁了,还是有问题.

ECShop曝高危漏洞 360首推临时解决方案
2012-11-05 13:57出处:pconline作者:PConline责任编辑:wuweilong(评论0条)


  日前,第三方漏洞报告平台乌云曝出国内知名网店系统ECShop GBK版本存在高危SQL注入漏洞,黑客利用此漏洞可获得管理员账号密码,窃取网站数据。360网站安全检测平台对注册网站检测发现,国内3000余个网站存在此漏洞,是近期流行度最高的漏洞之一。目前,360已独家提供了应对该漏洞的临时解决方案。

  360网站安全检测平台网址:<点击打开>

  ECShop是一款基于PHP与MYSQL开发的B2C网店系统,国内大量企业及个人用户使用ECShop建立网上商店。360安全专家表示,目前使用ECShop GBK版本的所有网站,都存在这一SQL注入漏洞,漏洞的文件为user.php。


图1:ECShop程序中的user.php中过滤不严导致漏洞

  360安全专家分析发现,漏洞成因在于user.php文件会直接带入SQL语句操作数据库的用户可控变量。由于ECShop GBK版本采用GBK编码(宽字符编码),攻击者可通过传入半个字符的方式绕过对单引号的转义,故而导致可执行任意构造的SQL注入语句。此外,程序对magic_quotes_gpc是否开启也做出了判断,攻击者可利用相同注入语句进行注入,并通过MD5解密工具对MD5密文进行**得到明文账号密码,从而窃取网站任意数据。


图2:宽字节SQL注入利用漏洞

  由于ECShop官方尚未针对此高危SQL注入漏洞发布修复补丁,所以360网站安全检测平台已不仅第一时间向旗下网站发出警告邮件,还同时提供了临时解决方案(附录),建议站长和网站管理员尽快手动修复,同时推荐使用360网站安全检测平台和360网站卫士,随时掌握网站安全状况。

  附:360独家提供的临时解决方案:

  在user.php文件的第276行,增加下面一行语句:

  $username = str_replace('\'','',stripslashes($username));

360通用php防护代码

-----------------使用方法------------------------------------------------------------------
1.将360_safe3.php传到要包含的文件的目录

2.在页面中加入防护,有两种做法,根据情况二选一即可:

a).在所需要防护的页面加入代码
require_once('360_safe3.php');
就可以做到页面防注入、跨站
如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中!
添加require_once('360_safe3.php');来调用本代码

常用php系统添加文件
PHPCMS V9 \phpcms\base.php
PHPWIND8.7 \data\sql_config.php
DEDECMS5.7 \data\common.inc.php
DiscuzX2\config\config_global.php
Wordpress\wp-config.php
Metinfo\include\head.php

b).在每个文件最前加上代码
在php.ini中找到:
Automatically add files before or after any PHP document.
auto_prepend_file = 360_safe3.php路径;



ecshop 2.72的使用方法是这样:
1.把360_safe3.php 上传到主机的data目录下面.
2.然后找到data/config.php 文件, 在<?php下面一行插入这两段语句
//360防全站注入程序补丁
require_once('360_safe3.php');
这是补丁文件的链接: http://webscan.360.cn/down/php360.zip

我用上面的方法成功的解决了ecshop 系统里的所有注入漏洞问题, 在此谢谢360公司提供的免费优质技术支持.

额 这问题很严重啊 帮顶下 其他官方回应

虽然不懂。但要关注一下。。。

随时留意安全

谢谢提醒,非常有用的信息啊!

同求啊,到底什么问题

360太厉害了

到底什么问题

360..............................