91久久国产婷婷一区二区丨亚洲综合无码一区二区三区不卡丨超caopor在线公开视频丨国产精品乱码久久久久久久久丨日韩a片无码一区二区三区电影丨www.亚洲com丨动漫精品无码视频一区二区三区丨一道本视频在线观看丨五月天三级丨国户精品久久久久久久久久久不卡丨男女作爱bbbbbbbbb丨亚洲综合色成在线观看丨国产美女久久精品香蕉69丨黑人大群体交免费视频丨成人无码视频在线观看网址丨久久久1丨我想看一级黄色毛片丨精品一区久久丨www黄色网址丨911久久香蕉国产线看观看

ecshop漏洞于2018年9月12日被某安全組織披露爆出，該漏洞受影響范圍較廣，ecshop2.73版本以及目前最新的3.0、3.6、4.0版本都受此次ecshop漏洞的影響，主要漏洞是利用遠(yuǎn)程代碼執(zhí)行sql注入語句漏洞，導(dǎo)致可以插入sql查詢代碼以及寫入代碼到網(wǎng)站服務(wù)器里，嚴(yán)重的可以直接獲取服務(wù)器的管理員權(quán)限，甚至有些網(wǎng)站使用的是虛擬主機(jī)，可以直接獲取網(wǎng)站ftp的權(quán)限，該漏洞pOC已公開，使用簡單，目前很多商城網(wǎng)站都被攻擊，危害較大，針對于此我們SINE安全對該ECSHOp漏洞的詳情以及如何修復(fù)網(wǎng)站的漏洞，及如何部署網(wǎng)站安全等方面進(jìn)行詳細(xì)的解讀。

ecshop漏洞產(chǎn)生原因

全系列版本的ecshop網(wǎng)站漏洞，漏洞的根源是在網(wǎng)站根目錄下的user.php代碼，在調(diào)用遠(yuǎn)程函數(shù)的同時(shí)display賦值的地方可以直接插入惡意的sql注入語句，導(dǎo)致可以查詢mysql數(shù)據(jù)庫里的內(nèi)容并寫入數(shù)據(jù)到網(wǎng)站配置文件當(dāng)中，或者可以讓數(shù)據(jù)庫遠(yuǎn)程下載文件到網(wǎng)站目錄當(dāng)中去。

此referer里的內(nèi)容就是要網(wǎng)站遠(yuǎn)程下載一個(gè)腳本大馬，下載成功后會(huì)直接命名為SINE.php,攻擊者打開該文件就可以執(zhí)行對網(wǎng)站的讀寫上傳下載等操作，甚至?xí)苯尤肭址?wù)器，拿到服務(wù)器的管理員權(quán)限。

ecshop漏洞修復(fù)

目前ecshop官方并沒有升級(jí)任何版本，也沒有告知漏洞補(bǔ)丁，我們SINE安全公司建議各位網(wǎng)站的運(yùn)營者對網(wǎng)站配置目錄下的lib_insert.php里的id以及num的數(shù)據(jù)轉(zhuǎn)換成整數(shù)型，或者是將網(wǎng)站的user.php改名，停止用戶管理中心的登錄，或者找專業(yè)的網(wǎng)站安全公司去修復(fù)漏洞補(bǔ)丁，做好網(wǎng)站安全檢測與部署。對網(wǎng)站的images目錄寫入進(jìn)行關(guān)閉，取消images的php腳步執(zhí)行權(quán)限。