5月6日下午,湖盟云防火墙安全专家Viekst向乌云平台提交了一份关于ecshop安全漏洞,并第一时间联系了厂商,报告的内容是关于ECSHOP后台代码编写不严谨可能导致权限丢失,危害极大。20分钟后,厂商已经确认了该漏洞,并紧急调整,目前,漏洞已被修复。 ECShop是上海商派网络科技有限公司(ShopEx)旗下——B2C独立网店系统,系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序,经过近两年的发展,ECShop网店系统无论在产品功能、稳定性、执行效率、负载能力、安全性和SEO支持(搜索引擎优化)等方面都居国内同类产品领先地位,成为国内最流行的购物系统之一,用户量非常庞大。如果这次的漏洞被骇客利用,有可能会造成大面积的ECSHOP用户被攻击和利用,后果非常严重。 湖盟云防火墙安全团队从06年成立至今始终致力于跟踪国内外最新网络安全漏洞研究动向,持续开展漏洞分析和挖掘、逆向工程技术等安全专项研究。近日,Viekst在对接入湖盟云防火墙的某用户进行检测时,发现用户使用的ECSHOP系统可能存在被利用的风险,对ECSHOP后台代码进行审计,发现某文件存在文件包含,再通过跨站让管理员来访问包含的文件就可以getshell。 (因某些原因,具体信息暂不公布) 成功利用: 湖盟云平台(my.hnhack.com):国际知名的网站安全保护、网站性能提升平台 ,通过湖盟云平台分布在世界各地的节点,可以有效提高网站访问量,据统计,使用了湖盟云平台的网站,平均可加速200%以上,网站访问量提高20%。
| 
发表于 2013-5-8 15:57:56
