汽车

土团购程序曝高危漏洞360紧急发布修复

2019-05-15 00:00:15来源:励志吧0次阅读

2月24日消息,国内团购站常用的土团购程序部分版本曝出SQL注入漏洞,可能致使大批团购站被黑客拖库,甚至泄漏团购用户的消费凭据。目前,360站安全检测平台已紧急发布漏洞修复方案,可以有效保护团购站的交易安全。

据悉,土团购程序是免费开源的团购系统平台,覆盖国内千余家团购站,包括很多知名大型团购站。360站安全检测平台发现,上现已出现针对土团购程序漏洞的黑客攻击,乃至土官中的Demo(演示)站点也未能幸免。

360安全工程师分析认为,这是一次比较典型、也是非常经典的数组key变量污染漏洞。土团购建站程序的代码中,由于函数的过滤不严格,导致了黑客可以通过提交恶意代码,控制程序流程,来绕过登录时的判断,直接进入站后台。

利用土团购程序漏洞,黑客可篡改团购活动、商品价格、定单、退款、发货记录等重要数据,并拖库盗取团购用户的注册邮箱和密码。鉴于此次漏洞影响大批团购站,一旦不能及时修复,其危害丝毫不亚于去年底的多站泄密风暴。

据360站安全检测平台监控,目前使用土团购程序的站中,有66%的团购站存在该SQL注入漏洞。为此,360已向相干站发布了高危警报,并免费提供漏洞修复方案,建议相干团购站参考如下方案处理:

1、将土团购程序升级到版的ZuituGo_CV2.0_;

2、如果不想下载庞大的源码升级包,还可以参考以下的修复方案:

步: 在Include/classes/ p 中找到 static public function GetLogin($email, $unpass, $en=true) { 即登录验证函数定义的地方;

第二步:在其下面加入如下代码if(is_array($email)) return array();漏洞即可修复。

360站全检测平台是国内集站漏洞检测、站挂马监控、站篡改监控于一体的免费检测平台,具有全面的站漏洞库及蜜罐集群检测系统,能够时间协助站检测修复漏洞。2011年,360站安全监测平台曾协同360团购导航,为国内数百家主流团购站提供了免费站漏洞检测服务并提供修复建议,提高了团购站整体安全水平。

附:360站安全检测服务址:

图:360解析土团购SQL漏洞代码

益母颗粒需要经常吃么
益母颗粒吃多久
月经量少饮食调理方法
分享到:
  • 友情链接
  • 合作伙伴