开发者社区> 网站安全> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

ecshop漏洞修复 以及如何加固ecshop网站安全

简介:
+关注继续查看

由于8月份的ECSHOP通杀漏洞被国内安全厂商爆出后,众多使用ecshop程序源码的用户大面积的受到了网站被篡改,最明显的就是外贸站点被跳转到一些仿冒的网站上去,导致在谷歌的用户订单量迅速下降,从百度,谷歌,360,以及搜狗等等进入到网站的用户直接被跳转到了一些赌bo网站上去,而且网站在各大引擎的收录的快照中的标题被篡改城一些与网站不相关的内容,如图:

b187a089320845fbaef1d525ea5493c0.png

而且网站直接被百度网址安全中心给拦截了,还有一些客户用ecshop做的购物平台是一些产品上的交易,黑客通过最新的网站通杀漏洞提权拿到了网站所有权限,对数据库进行了篡改导致会员金额被篡改损失严重,对于这几种用ecshop系统的用户被入侵的情况,我们Sine安全部门工程师立即对着几个客户网站进行了详细的程序代码安全审计,以及网站漏洞检测和木马后门清理,和漏洞修复。因为这几个客户之前网站被篡改跳转后首先想到的是用备份覆盖程序文件,但这一点只能解决当时问题因为被篡改是反复性质的,导致大量的网站会员反映无法正常下订单,对此产生的影响非常大,那么我来讲解下处理此类客户问题的具体过程,此次网站漏洞涉及到的版本为2.72,2.73,3.0.3.6.4.0最新版本都被利用,主要的利用漏洞的是该网站的sql注入执行getshell上传脚本木马,以及会员中心的xss跨站攻击,被上传的脚本木马内容如图:

76468abc1bbe475fbd3afa99f4032b15.png

8de968e6e1cf4a4482df8409ef142be4.png

该脚本木马也被称作为webshell木马,可以对网站进行上传任何文件,以及编辑文件,或操作mysql数据库的信息,这个脚本木马功能的强大性超过了ftp操作,而且还上传了一些隐蔽性质的后门木马,导致网站被反复性质的篡改,最主要的就是网站根源问题就是漏洞的存在,导致上传了备份文件没过多久就又被上传了木马篡改了首页内容,对此那么对症下药的问题解决关键就是修复漏洞所在,对于会员中心的sql远程注入getshell漏洞和xss跨站脚本攻击漏洞进行了详细的代码修复对于会员传递值的类型转换以及过滤非法函数的post提交转换,和数据内容的协议过滤都进行了详细的部署,还有一些图片目录的脚本权限也进行了限制访问执行,xss跨站攻击的危害性到底有多大呢,说的通俗点就是可以用xss拿到你管理员的登录cookies并直接进行登录后台操作,也可以直接js触发在后台post提交数据增加管理员用户,从而拿到后台的管理地址和权限。很多没有经历过xss跨扎攻击的网站平台都以为不以为然,没去理会这个xss漏洞问题,导致后期网站出了问题才重视起来,那时就有点晚了数据可能被拖库下载打包了,一些平台会员的数据信息被泄露。

43ff404b320b48f9a21099a7f1b496c3.png

如何防止网站被入侵和篡改呢

1,网站的后台目录名尽量不要用默认的admin或guanli或houtai之类的名称。 

2,管理员的用户名和密码一定要设置的复杂一点,最好是大小写字母数字+符号最低12位的组合。

 3,对于sql注入以及xss跨站脚本攻击和变量函数转义的过滤措施,如果对程序代码不熟悉的话,建议找专业做网站安全的公司来处理,国内推荐Sinesafe,以及绿盟,启蒙星辰等网站安全公司来处理. 

4,对于开源程序的ecshop代码进行详细的代码审计和防护以及部署网站程序文件防窜改,以及网站数据的备份机制来减少最低的损失。

 5,如果网站找了二次开发的人员进行了功能上的修改,记得一定要告诉程序员严格过滤非法参数的传递以及调用包含文件的函数和操作,不能把非法参数带入sql查询中,对一些转义函数上一定要严格使用。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
ecshop 漏洞如何修复 补丁升级与安全修复详情
目前ecshop漏洞大面积爆发,包括最新版的ecshop 3.0,ecshop 4.0,ecshop2.7.3全系列版本都存在着高危网站漏洞,导致网站被黑,被篡改,被挂马,许多商城系统深受其漏洞的攻击,给商城的运营者以及网站运营者带来很大的经济损失,甚至有些ecshop还被跳转到了一些恶意网站上去。那么ecshop漏洞如何修复呢?
30 0
基于umeng官方php sdk v1.4,支持Laravel5以及Lumen5
安装 composer require zzl/umeng Laravel 5.* 配置 打开config目录下的app.php文件,找到provider,添加如下代码: 'provider' => [ Zzl...
1566 0
ECshop 快捷登录插件 支持QQ 支付宝 微博
亲自测试可以使用,分享给大家。(承接各种EcShop改版,二次开发等相关项目 QQ:377898650) 安装的时候按照里面说明。安装即可。 代码下载:http://pan.baidu.com/s/1c0kUYIk -------------------------------- 代码修改过程-------------首先admin includes languages这3个文件放到您网站的跟目录覆盖覆盖前须知admin目录为后台目录如果改动请修改此目录名称在覆盖。
1462 0
转载:【原译】Erlang列表处理(Efficiency Guide)
转自:http://www.cnblogs.com/futuredo/archive/2012/10/22/2734186.html   List handling 1  Creating a list 创建一个列表 Lists can only be built starting from the end and attaching list elements at the beginning. If you use the ++ operator like this 列表只能从尾端开始创建,从头部加入元素。
772 0
+关注
网站安全
Sinesafe专注于网站安全,服务器安全,解决各类网络安全问题,对代码审计以及漏洞修补安全加固有专业的十年实战经验.官方站点www.sinesafe.com
431
文章
188
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载