4月10日消息,360网站安全检测平台透露,该平台近期协助ShopEx(商派)网上商店系统修复两处高危漏洞,建议广大采用ShopEx建站系统的电商网站尽快安装补丁。据介绍,ShopEx漏洞由技术高手cond0r提交给360网站安全漏洞悬赏“库带计划”,从而推动ShopEx快速修复了漏洞。
ShopEx系统是国内市场占有率最高的B2C网店建站系统之一,众多知名企业均使用该系统建立电商网站。一旦ShopEx系统的漏洞被黑客利用,大批电商网站将面临数据库被“拖库”、网站被篡改等风险,也会对网购消费者造成严重损失。360协助ShopEx修复漏洞,有助于广大电商网站提升防黑能力,保护消费者的账号安全。
此次,360“库带计划”接到的ShopEx漏洞包括SQL注入漏洞和文件包含漏洞。其中,SQL注入漏洞直接威胁网站服务器和数据库,可导致数据库被黑客“拖库”;文件包含漏洞则可被黑客利用获取服务器敏感文件内容,或直接执行恶意脚本等,同样具有较大危害。
据悉,360“库带计划”是国内首个第三方漏洞付费收录平台,以现金奖励方式征集开源建站系统漏洞,单个漏洞奖励金额最高可达1万元。自3月份“库带计划”启动以来,360网站安全检测平台已经收集了包括DISCUZ、PHPWIND、DEDECMS、PHPCMS、齐博CMS、NetGather等多个知名建站系统的漏洞,并协助厂商及时修复。
目前,ShopEx官网已经发布漏洞补丁,360网站安全检测平台(http://webscan.360.cn)也第一时间向注册用户发送了告警邮件,提醒站长们尽快打补丁;同时建议网站站长们免费启用360网站卫士(http://wangzhan.360.cn/),可以在官方补丁发布前有效防范各种0day漏洞攻击平日里我们佩戴的腕表你有注意这些细节嘛?今天跟大家分享一些腕表冷知识,相信这些大部分人都不知道。致力于最具影响力的腕表新媒体,和爱表的人分享最有态度、最有启发、最有价值的原创腕表内容。九段腕表为广大腕表消费者及爱好者提供腕表图片、品牌文化、表款信息、购买指南、腕表杂谈和腕表科普黄页等相关的信息参考。是目前表友最受关注的互联网钟表媒体之一。。
附:ShopEx网上商店系统漏洞及补丁情况
ShopEx官方补丁程序下载地址:http://bbs.shopex.cn/read.php?tid-299932.html
ShopEx系统文件包含漏洞存在于/core/api/shop_api.php文件中的shop_api函数中:
图1:ShopEx文件包含漏洞对应的代码位置
以下是测试demo:
图2:文件包含漏洞测试效果
SQL注入漏洞存在于/core/shop/controller/ctl.member.php文件中的insertRec函数中:
图3:SQL注入漏洞对应的代码位置
利用SQL注入漏洞获取到用户名密码hash值:
图4:SQL注入漏洞利用效果
关于360网站安全服务
360为站长提供免费的网站安全解决方案,包括360网站安全检测平台和360网站卫士:
360网站安全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台,拥有全面的网站漏洞库及蜜罐集群检测系统,能够第一时间协助网站检测修复漏洞;
360网站卫士则为站长免费提供网站防火墙、DDOS保护、CC保护、智能DNS解析、盗链保护、页面压缩、缓存加速和永久在线等服务。
保值功能:高级腕表具有保值增值性。一些高端腕表每年的增值幅度都在20%~30%以上。这些产品体积小、价值大。一块腕表动辄几十万上百万,既方便携带和储藏,同时也便于传承。这一特点主要吸引的是钟表收藏家和中介人,其中有些人购买限量版腕表是为了收藏。高级腕表做工精良,富含文化底蕴,是很好的“礼物”。集合了精密技艺的高端腕表本身就是艺术品,适于观赏、收藏和商务馈赠。这一点对钟表爱好者有着很大的吸引力,这一观点在资产为5000万人民币左右的高端消费者领域中特别得到认可。他们在向别人馈赠礼品时会更多地选择名表作为商务活动的高档礼品,因为他们认为知名品牌的腕表是成功人士的代表,寓意隽永,还具有一定的保值性,最易受到受礼方的肯定,是展示诚意、表达感谢的最佳方式。
原创文章,作者:leping,如若转载,请注明出处:https://www.zhjiashun.com/zjsb-98588.html
