360网站安全检测平台协助ShopEx修复高危漏洞

　　4月10日消息，360网站安全检测平台透露，该平台近期协助ShopEx（商派）网上商店系统修复两处高危漏洞，建议广大采用ShopEx建站系统的电商网站尽快安装补丁。据介绍，ShopEx漏洞由技术高手cond0r提交给360网站安全漏洞悬赏“库带计划”，从而推动ShopEx快速修复了漏洞。
　　ShopEx系统是国内市场占有率最高的B2C网店建站系统之一，众多知名企业均使用该系统建立电商网站。一旦ShopEx系统的漏洞被黑客利用，大批电商网站将面临数据库被“拖库”、网站被篡改等风险，也会对网购消费者造成严重损失。360协助ShopEx修复漏洞，有助于广大电商网站提升防黑能力，保护消费者的账号安全。
　　此次，360“库带计划”接到的ShopEx漏洞包括SQL注入漏洞和文件包含漏洞。其中，SQL注入漏洞直接威胁网站服务器和数据库，可导致数据库被黑客“拖库”；文件包含漏洞则可被黑客利用获取服务器敏感文件内容，或直接执行恶意脚本等，同样具有较大危害。
　　据悉，360“库带计划”是国内首个第三方漏洞付费收录平台，以现金奖励方式征集开源建站系统漏洞，单个漏洞奖励金额最高可达1万元。自3月份“库带计划”启动以来，360网站安全检测平台已经收集了包括DISCUZ、PHPWIND、DEDECMS、PHPCMS、齐博CMS、NetGather等多个知名建站系统的漏洞，并协助厂商及时修复。
　　目前，ShopEx官网已经发布漏洞补丁，360网站安全检测平台（http://webscan.360.cn）也第一时间向注册用户发送了告警邮件，提醒站长们尽快打补丁;同时建议网站站长们免费启用360网站卫士（http://wangzhan.360.cn/），可以在官方补丁发布前有效防范各种0day漏洞攻击。
　　附：ShopEx网上商店系统漏洞及补丁情况
　　ShopEx官方补丁程序下载地址：http://bbs.shopex.cn/read.php?tid-299932.html
　　ShopEx系统文件包含漏洞存在于/core/api/shop_api.php文件中的shop_api函数中：

　　图1：ShopEx文件包含漏洞对应的代码位置
　　以下是测试demo：

　　图2：文件包含漏洞测试效果
　　SQL注入漏洞存在于/core/shop/controller/ctl.member.php文件中的insertRec函数中：

　　图3：SQL注入漏洞对应的代码位置
　　利用SQL注入漏洞获取到用户名密码hash值：

　　图4：SQL注入漏洞利用效果
　　关于360网站安全服务
　　360为站长提供免费的网站安全解决方案，包括360网站安全检测平台和360网站卫士：
　　360网站安全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台，拥有全面的网站漏洞库及蜜罐集群检测系统，能够第一时间协助网站检测修复漏洞；
　　360网站卫士则为站长免费提供网站防火墙、DDOS保护、CC保护、智能DNS解析、盗链保护、页面压缩、缓存加速和永久在线等服务。