近日,SCANV网站安全中心监控到针对“易想团购系统”特定的sql注入攻击行为,我们分析发现,该攻击行为是针对“易想团购系统”某文件的sql注入0day漏洞而发起的。同时我们注意到,该漏洞早于2012年1月就在包括著名第三方漏洞平台wooyun在内的多个平台上曝光了漏洞的细节。目前我们已积极联系官方,反馈漏洞细节。请站长们留意官方及我们的微博,同时复查网站安全状态,推荐大家启用我们的临时安全补丁。使用加速乐防护服务的网站不受此漏洞影响。
关于易想团购系统
易想团购管理系统是一套定位中高端市场的团购内容管理系统,能够以最低的成本,最少的人力投入在最短的时间架设一个功能齐全、性能优异、规模庞大并易于维护的网站平台。
官方网站:www.easethink.com
漏洞演示证明(如下图)
/vote.php 38行里的代码: $name = htmlspecialchars(addslashes(trim($name))); 改为: $name = htmlspecialchars(addslashes(trim($name))); $vote_ask_id=intval($vote_ask_id); //fix sql injection by knownsec.com 2013.04.01
0day漏洞:是指已经被发现(有可能未被公开),而官方还没有相关补丁的漏洞。
sql注射漏洞:是应用程序常见的一种漏洞类型,也叫“SQL Injection”或“sql注入”。可以直接危及到网站数据安全导致网站“脱库”,甚至直接危及到网站服务器系统安全。属于“高危”漏洞。
关于加速乐及知道创宇
“加速乐”(www.jiasule.com)是中国领先的互联网安全提供商知道创宇推出的一款在线免费网站CDN加速、网站安全防护平台。致力于系统化解决网站访问速度过慢及网站反黑客问题。
“知道创宇”(www.knownsec.com)全称为北京知道创宇信息技术有限公司。是国内最早提出网站安全云监测及云防御的高新企业,始终致力于为客户提供基于云技术支撑的下一代Web安全解决方案。知道创宇总部设在北京,在香港、上海、广州、成都设有分公司,客户及合作伙伴来自中国、美国、日本、韩国等。凭借强大的云安全技术与产品的高可用性、易管理性、合规性和业务连续性、以及动态保障关键Web数据资产安全的能力,帮助用户应对变化多端的互联网安全威胁,赢得了企业、政府与公共机构的青睐。知道创宇安全实验室在零日安全威胁与云安全技术方面的研究得到了业内的广泛认同并享有极高知名度。
在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。
美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。
根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。
获取安全动态