记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

ecshop 最新注入0day漏洞分析报告-2013-02-20

漏洞作者:360 漏洞分析:Seay 博客:www.cnseay.com 今天习惯性的到处逛,看看文章。看到了360爆的一个ecshop 支付宝支付插件的注入漏洞,照例的分析下,360的团队还是挺赞的。 由于漏洞源于ecshop的支付宝支付插件,所有利用前提是站点安装此插件,利用不受GPC影响。 漏洞核心代码在includesmodulespaymentalipay.php 文件 respond()函数,第215行。 function respond() { if (!empty($_POST)) { foreach($_POST as $key =>$data) {
发布时间:2013-02-20 07:40 | 阅读:102517 | 评论:0 | 标签:代码审计 最新漏洞 ECshop漏洞

漏洞播报:ECShop支付插件0day漏洞及修复方案

近日,360网站安全检测平台独家发现网店系统ECShop支付宝插件存在高危0day漏洞。黑客可利用SQL注入绕过系统限制获取网站数据,进而实施“拖库”窃取网站资料。由于ECShop与电子商务关系密切,涉及网上钱财交易,一旦该漏洞被大范围利用,将造成严重后果。对此,360已于第一时间向ECShop通报了该漏洞细节并协助推出官方修复补丁 ECShop是一款热门的B2C网店建站系统,国外很多知名企业和个人用户都在使用ECShop建立电商网站。据悉,360此次发现的漏洞存在于所有版本的ECShop系统中,大量电商网站面临被拖库的风险。   图1:黑客可用str_replace函数绕过单引号限制实施SQL注入 据360安全工程师分析,此次出现的ECShop系统SQL注入漏洞存在于/inclu
发布时间:2013-02-20 02:25 | 阅读:106778 | 评论:0 | 标签:代码审计 最新漏洞 ECshop漏洞

公告

九层之台,起于垒土;黑客之术,始于阅读

推广

工具

标签云