360檢測平臺助ShopEx修復高危漏洞－x0z7blog01的部落格

360網站安全檢測平臺透露，該平臺近期協助ShopEx(商派)網上商店系統修復兩處高危漏洞，建議廣大采用ShopEx建站系統的電商網站盡快安裝補丁。據介紹，ShopEx漏洞由技術高手cond0r提交給360網站安全漏洞懸賞“庫帶計劃”，從而推動ShopEx快速修復瞭漏洞。

ShopEx系統是國內市場占有率最高的B2C網店建站系統之一，眾多知名企業均使用該系統建立電商網站。一旦ShopEx系統的漏洞被黑客利用，大批電商網站將面臨數據庫被“拖庫”、網站被篡改等風險，也會對網購消費者造成嚴重損失。360協助ShopEx修復漏洞，有助於廣大電商網站提升防黑能力，保護消費者的賬號安全。

此次，360“庫帶計劃”接到的ShopEx漏洞包括SQL註入漏洞和文件包含漏洞。其中，SQL註入漏洞直接威脅網站服務器和數據庫，可導致數據庫被黑客“拖庫”;文件包含漏洞則可被黑客利用獲取服務器敏感文件內容，或直接執行惡意腳本等，同樣具有較大危害。

據悉，360“庫帶計劃”是國內首個第三方漏洞付費收錄平臺，以現金獎勵方式征集開源建站系統漏洞，單個漏洞獎勵金額最高可達1萬元。自3月份“庫帶計劃”啟動以來，360網站安全檢測平臺已經收集瞭包括DISCUZ、PHPWIND、DEDECMS、PHPCMS、齊博CMS、NetGather等多個知名建站系統的漏洞，並協助廠商及時修復。

目前，ShopEx官網已經發佈漏洞補丁，360網站安全檢測平臺(http://webscan.360.cn)也第一時間向註冊用戶發送瞭告警郵件，提醒站長們盡快打補丁;同時建議網站站長們免費啟用360網站衛士(http://wangzhan.360.cn/)，可以在官方補丁發佈前有效防范各種0day漏洞攻擊。

附：ShopEx網上商店系統漏洞及補丁情況

ShopEx官方補丁程序下載地址：http://bbs.shopex.cn/read.php?tid-299932.html

ShopEx系統文件包含漏洞存在於/core/api/shop_api.php文件中的shop_api函數中：

360檢測平臺助ShopEx修復高危漏洞