性免费看,md传媒在线观看

360安全工程師分析認(rèn)為，"這是一次比較典型、也是非常經(jīng)典的數(shù)組key變量污染漏洞。'最土團(tuán)購'建站程序的代碼中，由于函數(shù)的過濾不嚴(yán)格，導(dǎo)致了黑客可以通過提交惡意代碼，控制程序流程，來繞過登錄時(shí)的判斷，直接進(jìn)入網(wǎng)站后臺。"

【IT商業(yè)新聞網(wǎng)訊】（記者子山）2月24日消息，國內(nèi)團(tuán)購網(wǎng)站常用的"最土團(tuán)購程序"部分版本曝出SQL注入漏洞，可能導(dǎo)致大批團(tuán)購網(wǎng)站被黑客拖庫，甚至泄露團(tuán)購用戶的消費(fèi)憑據(jù)。目前，360網(wǎng)站安全檢測平臺已緊急發(fā)布漏洞修復(fù)方案，可以有效保護(hù)團(tuán)購網(wǎng)站的交易安全。

據(jù)悉，"最土團(tuán)購程序"是免費(fèi)開源的團(tuán)購系統(tǒng)平臺，覆蓋國內(nèi)千余家團(tuán)購網(wǎng)站，包括不少知名大型團(tuán)購網(wǎng)站。360網(wǎng)站安全檢測平臺發(fā)現(xiàn)，網(wǎng)上現(xiàn)已出現(xiàn)針對"最土團(tuán)購程序"漏洞的黑客攻擊，甚至"最土"官網(wǎng)中的Demo（演示）站點(diǎn)也未能幸免。

利用"最土團(tuán)購程序"漏洞，黑客可篡改團(tuán)購活動、商品價(jià)格、訂單、退款、發(fā)貨記錄等重要數(shù)據(jù)，并拖庫竊取團(tuán)購用戶的注冊郵箱和密碼。鑒于此次漏洞影響大批團(tuán)購網(wǎng)站，一旦不能及時(shí)修復(fù)，其危害絲毫不亞于去年底的多網(wǎng)站泄密風(fēng)暴。

據(jù)360網(wǎng)站安全檢測平臺監(jiān)控，目前使用"最土團(tuán)購程序"的網(wǎng)站中，有66%的團(tuán)購網(wǎng)站存在該SQL注入漏洞。為此，360已向相關(guān)網(wǎng)站發(fā)布了高危警報(bào)，并免費(fèi)提供漏洞修復(fù)方案，建議相關(guān)團(tuán)購網(wǎng)站參考如下方案處理：

1、將"最土團(tuán)購程序"升級到最新版的ZuituGo_CV2.0_20111231；

2、如果不想下載龐大的源碼升級包，還可以參考以下的修復(fù)方案：

第一步：在Include/classes/ ZUser.class.php 中找到 "static public function GetLogin($email, $unpass, $en=true) { "即登錄驗(yàn)證函數(shù)定義的地方；

第二步：在其下面加入如下代碼"if(is_array($email)) return array();"漏洞即可修復(fù)。

360網(wǎng)站全檢測平臺是國內(nèi)首個(gè)集網(wǎng)站漏洞檢測、網(wǎng)站掛馬監(jiān)控、網(wǎng)站篡改監(jiān)控于一體的免費(fèi)檢測平臺，擁有全面的網(wǎng)站漏洞庫及蜜罐集群檢測系統(tǒng)，能夠第一時(shí)間協(xié)助網(wǎng)站檢測修復(fù)漏洞。2011年，360網(wǎng)站安全監(jiān)測平臺曾協(xié)同360團(tuán)購導(dǎo)航，為國內(nèi)數(shù)百家主流團(tuán)購網(wǎng)站提供了免費(fèi)網(wǎng)站漏洞檢測服務(wù)并提供修復(fù)建議，提高了團(tuán)購網(wǎng)站整體安全水平。

附：360網(wǎng)站安全檢測服務(wù)網(wǎng)址：http://webscan.#/

圖：360解析"最土團(tuán)購"SQL漏洞代碼

　　推薦閱讀

　　阿里B2B私有化將投資者和員工排除在未來之外

“這樣的私有化像是一次大洗牌�！币晃粰C(jī)構(gòu)投資者表示，散戶、機(jī)構(gòu)投資者、員工都被排出在阿里巴巴集團(tuán)未來之外，雖然有個(gè)短期不錯(cuò)的“對價(jià)”。馬云、雅虎、沸沸揚(yáng)揚(yáng)的阿里巴巴私有化進(jìn)程中，還有一種角色被忽視。 >>>詳細(xì)閱讀

本文標(biāo)題：“最土團(tuán)購程序”曝高危漏洞 360緊急發(fā)布修復(fù)方案

地址：http://m.sh-jijian.com/a/guandian/yejie/20111230/165675.html

1/2 1 2 下一頁