近日，烏云漏洞平臺(tái)爆料稱(chēng)ShopEx 4.8.5版存在SQL注入漏洞(http://www.wooyun.org/bugs/wooyun-2010-08597 )，黑客利用該漏洞可獲得網(wǎng)站管理員密碼，進(jìn)而控制網(wǎng)站服務(wù)器，竊取用戶帳號(hào)密碼(又稱(chēng)為“拖庫(kù)”)。360網(wǎng)站安全檢測(cè)平臺(tái)發(fā)現(xiàn)，目前絕大多數(shù)ShopEx網(wǎng)站用戶均存在該漏洞，主要為電子商務(wù)類(lèi)網(wǎng)店。

360網(wǎng)站安全檢測(cè)平臺(tái)服務(wù)網(wǎng)址：http://webscan.#

ShopEx是國(guó)內(nèi)市場(chǎng)占有率***的網(wǎng)店軟件之一，眾多知名商城網(wǎng)店、分銷(xiāo)網(wǎng)站，以及品牌商城均使用ShopEx建站并進(jìn)行管理。SQL注入則是最常見(jiàn)的網(wǎng)站高危漏洞，之前CSDN等網(wǎng)站泄密大多與SQL注入漏洞有關(guān)。黑客利用ShopEx的漏洞獲取管理員MD5密碼后，可碰撞破解獲得原始密碼，破解成功率一般在95%以上。

360網(wǎng)站安全檢測(cè)平臺(tái)分析認(rèn)為，導(dǎo)致ShopEx SQL注入漏洞的核心函數(shù)是：\core\model_v5\trading\mdl.goods.php(圖1)

圖1：導(dǎo)致ShopEx存在SQL注入漏洞的核心函數(shù)

圖2：函數(shù)被調(diào)用

(圖2)中的函數(shù)在\core\shop\controller\ctl.product.php 文件中被調(diào)用。

由于漏洞影響用戶眾多，且對(duì)網(wǎng)站危害較大，所以360安全檢測(cè)平臺(tái)在***時(shí)間向旗下用戶發(fā)送了告警郵件，同時(shí)建議所有使用ShopEx用戶立即下載安裝官方提供的補(bǔ)丁進(jìn)行修復(fù)，并定期使用360安全檢測(cè)服務(wù)隨時(shí)掌控網(wǎng)站安全狀態(tài)。

ShopEx官方補(bǔ)丁下載地址：http://bbs.shopex.cn/read.php?tid-269636.html

關(guān)于360網(wǎng)站安全檢測(cè)平臺(tái)(服務(wù)網(wǎng)址：http://webscan.# )

360網(wǎng)站安全檢測(cè)平臺(tái)是國(guó)內(nèi)***集網(wǎng)站漏洞檢測(cè)、網(wǎng)站掛馬監(jiān)控、網(wǎng)站篡改監(jiān)控于一體的免費(fèi)檢測(cè)平臺(tái)，擁有全面的網(wǎng)站漏洞庫(kù)及蜜罐集群檢測(cè)系統(tǒng)，能夠***時(shí)間協(xié)助網(wǎng)站檢測(cè)修復(fù)漏洞。2011年，360網(wǎng)站安全監(jiān)測(cè)平臺(tái)曾協(xié)同360團(tuán)購(gòu)導(dǎo)航，為國(guó)內(nèi)數(shù)百家主流團(tuán)購(gòu)網(wǎng)站提供了免費(fèi)網(wǎng)站漏洞檢測(cè)服務(wù)并提供修復(fù)建議，提高了團(tuán)購(gòu)網(wǎng)站整體安全水平。