18720358503 在线客服 人才招聘 返回顶部
企业动态 技术分享 行业动态

ecshop 全系列版本号网站系统漏洞 远程控制编码实

2021-02-21分享 "> 对不起,没有下一图集了!">

ecshop 全系列版本号网站系统漏洞 远程控制编码实行sql引入系统漏洞


短视頻,自新闻媒体,达人种草1站服务

ecshop系统漏洞于被某安全性机构公布爆出,该系统漏洞受危害范畴较广,ecshop2.73版本号和现阶段全新的3.0、3.6、4.0版本号都受此次ecshop系统漏洞的危害,关键系统漏洞是运用远程控制编码实行sql引入句子系统漏洞,致使能够插进sql查寻编码和写入编码到网站服务器里,比较严重的能够立即获得服务器的管理方法员管理权限,乃至一些网站应用的是虚似主机,能够立即获得网站ftp的管理权限,该系统漏洞POC已公布,应用简易,现阶段许多商城网站都被进攻,伤害较大,对于于此大家SINE安全性对该ECSHOP系统漏洞的详细信息和怎样修补网站的系统漏洞,及怎样布署网站安全性等层面开展详尽的讲解。

ecshop系统漏洞造成缘故

全系列版本号的ecshop网站系统漏洞,系统漏洞的根本原因是在网站根文件目录下的user.php编码,在启用远程控制涵数的另外display取值的地区能够立即插进故意的sql引入句子,致使能够查寻mysql数据信息库里的內容并写入数据信息到网站配备文档之中,或可让数据信息库远程控制免费下载文档到网站文件目录之中去。

此referer里的內容便是要网站远程控制免费下载1个脚本制作大马,免费下载取得成功后会立即取名为SINE.php,进攻者开启该文档便可以实行对网站的读写能力提交免费下载等实际操作,乃至会立即侵入服务器,拿到服务器的管理方法员管理权限。

ecshop系统漏洞修补

现阶段ecshop官方并沒有升級任何版本号,也沒有告之系统漏洞补钉,大家SINE安全性企业提议各位网站的经营者对网站配备文件目录下的lib_insert.php里的id和num的数据信息变换成整数金额型,或是将网站的user.php改名,终止客户管理方法管理中心的登陆,或找技术专业的网站安全性企业去修补系统漏洞补钉,做好网站安全性检验与布署。对网站的images文件目录写入开展关掉,撤销images的php步伐实行管理权限。


"> 对不起,没有下一图集了!">
在线咨询