2月24日消息,国内团购网站常用的“最土团购程序”部分版本曝出SQL注入漏洞,可能导致大批团购网站被黑客拖库,甚至泄露团购用户的消费凭据。目前,360网站安全检测平台已紧急发布漏洞修复方案,可以有效保护团购网站的交易安全。
据悉,“最土团购程序”是免费开源的团购系统平台,覆盖国内千余家团购网站,包括不少知名大型团购网站。360网站安全检测平台发现,网上现已出现针对“最土团购程序”漏洞的黑客攻击,甚至“最土”官网中的Demo(演示)站点也未能幸免。
360安全工程师分析认为,“这是一次比较典型、也是非常经典的数组key变量污染漏洞。‘最土团购’建站程序的代码中,由于函数的过滤不严格,导致了黑客可以通过提交恶意代码,控制程序流程,来绕过登录时的判断,直接进入网站后台。”
利用“最土团购程序”漏洞,黑客可篡改团购活动、商品价格、订单、退款、发货记录等重要数据,并拖库窃取团购用户的注册邮箱和密码。鉴于此次漏洞影响大批团购网站,一旦不能及时修复,其危害丝毫不亚于去年底的多网站泄密风暴。
据360网站安全检测平台监控,目前使用“最土团购程序”的网站中,有66%的团购网站存在该SQL注入漏洞。为此,360已向相关网站发布了高危警报,并免费提供漏洞修复方案,建议相关团购网站参考如下方案处理:
1、将“最土团购程序”升级到最新版的ZuituGo_CV2.0_20111231;
2、如果不想下载庞大的源码升级包,还可以参考以下的修复方案:
第一步: 在Include/classes/ ZUser.class.php 中找到 “static public function GetLogin($email, $unpass, $en=true) { ”即登录验证函数定义的地方;
第二步:在其下面加入如下代码“if(is_array($email)) return array();”漏洞即可修复。
360网站全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台,拥有全面的网站漏洞库及蜜罐集群检测系统,能够第一时间协助网站检测修复漏洞。2011年,360网站安全监测平台曾协同360团购导航,为国内数百家主流团购网站提供了免费网站漏洞检测服务并提供修复建议,提高了团购网站整体安全水平。
附:360网站安全检测服务网址:http://webscan.360.cn/
图:360解析“最土团购”SQL漏洞代码
