继续2013年04月01日加速乐响应的“易想团购系统曝高危漏洞”(http://jiasule.com/news/51596f7075db5c4d1e00007d/)后,近日,互联网上再次曝光了一个“易想团购系统通杀SQL注入漏洞",并公布漏洞利用方法。经知道创宇安全研究团队分析验证,该漏洞确实存在,属高危漏洞。攻击者可以通过该漏洞控制服务器, 最终导致网站被“脱库”、“挂马”等严重后果。截止本文发布,官方仍未发布针对该漏洞的防御补丁。知道创宇安全研究团队已积极联系官方,请各位站长密切关注官方动态。经测试加速乐可成功防御该漏洞!同时加速乐发布了该漏洞的临时补丁,推荐站长们启用。
关于易想团购系统
易想团购管理系统是一套定位中高端市场的团购内容管理系统,能够以最低的成本,最少的人力投入在最短的时间架设一个功能齐全、性能优异、规模庞大并易于维护的网站平台。
官方网站:www.easethink.com
漏洞演示证明(如下图)
其中涉及获取ip的文件共有四个: \admin\ThinkPHP\Common\extend.php \install\ThinkPHP\Common\extend.php \system\common.php \system\extend\ip.php 其中分别修改如下: \admin\ThinkPHP\Common\extend.php的36行处代码(get_client_ip()函数中) return($ip); 修改为 return preg_match("/[\d\.]{7,15}/", $ip, $matches) ? $matches[0] : 'unknown';//fixed by knownsec 2013/4/10 \install\ThinkPHP\Common\extend.php的36行处代码(get_client_ip()函数中) return($ip); 修改为 return preg_match("/[\d\.]{7,15}/", $ip, $matches) ? $matches[0] : 'unknown';//fixed by knownsec 2013/4/10 \system\common.php的53行处代码(get_client_ip()函数中) return ($ip); 修改为 return preg_match("/[\d\.]{7,15}/", $ip, $matches) ? $matches[0] : 'unknown';//fixed by knownsec 2013/4/10 \system\extend\ip.php的86行处代码(getIP()函数中) return $ip; 修改为 return preg_match("/[\d\.]{7,15}/", $ip, $matches) ? $matches[0] : 'unknown';//fixed by knownsec 2013/4/10名词解释
SQL注射漏洞:是应用程序常见的一种漏洞类型,也叫“SQL Injection”或“SQL注入”。可以直接危及到网站数据安全导致网站“脱库”,甚至直接危及到网站服务器系统安全。属于“高危”漏洞。
关于加速乐及知道创宇
“加速乐”(www.jiasule.com)是中国领先的互联网安全提供商知道创宇推出的一款在线免费网站CDN加速、网站安全防护平台。致力于系统化解决网站访问速度过慢及网站反黑客问题。
“知道创宇”(www.knownsec.com) 全称为北京知道创宇信息技术有限公司。是国内最早提出网站安全云监测及云防御的高新企业,始终致力于为客户提供基于云技术支撑的下一代Web安全解决方 案。知道创宇总部设在北京,在香港、上海、广州、成都设有分公司,客户及合作伙伴来自中国、美国、日本、韩国等。凭借强大的云安全技术与产品的高可用性、 易管理性、合规性和业务连续性、以及动态保障关键Web数据资产安全的能力,帮助用户应对变化多端的互联网安全威胁,赢得了企业、政府与公共机构的青睐。 知道创宇安全实验室在零日安全威胁与云安全技术方面的研究得到了业内的广泛认同并享有极高知名度。
在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。
美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。
根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。
获取安全动态