ECShop曝高危SQL注入漏洞360首推临时解决方案

　　360网站安全检测平台网址：http://webscan.360.cn

　　ECShop是一款基于PHP与MYSQL开发的B2C网店系统，国内大量企业及个人用户使用ECShop建立网上商店。360安全专家表示，目前使用ECShopGBK版本的所有网站，都存在这一SQL注入漏洞，漏洞的文件为user.php。

　　图1：ECShop程序中的user.php中过滤不严导致漏洞

　　360安全专家分析发现，漏洞成因在于user.php文件会直接带入SQL语句操作数据库的用户可控变量。由于ECShopGBK版本采用GBK编码(宽字符编码)，攻击者可通过传入半个字符的方式绕过对单引号的转义，故而导致可执行任意构造的SQL注入语句。此外，程序对magic_quotes_gpc是否开启也做出了判断，攻击者可利用相同注入语句进行注入，并通过MD5解密工具对MD5密文进行破解得到明文账号密码，从而窃取网站任意数据。

　　图2：宽字节SQL注入利用漏洞

　　由于ECShop官方尚未针对此高危SQL注入漏洞发布修复补丁，所以360网站安全检测平台已不仅第一时间向旗下网站发出警告邮件，还同时提供了临时解决方案(附录)，建议站长和网站管理员尽快手动修复，同时推荐使用360网站安全检测平台和360网站卫士，随时掌握网站安全状况。

　　附：360独家提供的临时解决方案：

　　在user.php文件的第276行，增加下面一行语句：

　　$username=str_replace(''','',stripslashes($username));

　　　　奇虎360(NYSE:QIHU)是中国第一大互联网安全服务提供商。按照用户数量计算，目前奇虎360是中国第三大互联网公司。作为“免费安全”的首创者，奇虎360为近4亿中国互联网用户提供领先的互联网和无线安全产品及服务，覆盖率近90%。奇虎360通过提供细致、完善的平台服务以及网络安全服务，以开放平台实现商业价值，与合作伙伴共同建立起多方共赢的互联网生态体系。