近日，烏云漏洞平臺爆料稱ShopEx 4.8.5版存在SQL注入漏洞(http://www.wooyun.org/bugs/wooyun-2010-08597 )，黑客利用該漏洞可獲得網(wǎng)站管理員密碼，進(jìn)而控制網(wǎng)站服務(wù)器，竊取用戶帳號密碼(又稱為“拖庫”)。360網(wǎng)站安全檢測平臺發(fā)現(xiàn)，目前絕大多數(shù)ShopEx網(wǎng)站用戶均存在該漏洞，主要為電子商務(wù)類網(wǎng)店。

360網(wǎng)站安全檢測平臺服務(wù)網(wǎng)址：http://webscan.#

ShopEx是國內(nèi)市場占有率***的網(wǎng)店軟件之一，眾多知名商城網(wǎng)店、分銷網(wǎng)站，以及品牌商城均使用ShopEx建站并進(jìn)行管理。SQL注入則是最常見的網(wǎng)站高危漏洞，之前CSDN等網(wǎng)站泄密大多與SQL注入漏洞有關(guān)。黑客利用ShopEx的漏洞獲取管理員MD5密碼后，可碰撞破解獲得原始密碼，破解成功率一般在95%以上。

360網(wǎng)站安全檢測平臺分析認(rèn)為，導(dǎo)致ShopEx SQL注入漏洞的核心函數(shù)是：\core\model_v5\trading\mdl.goods.php(圖1)

圖1：導(dǎo)致ShopEx存在SQL注入漏洞的核心函數(shù)

圖2：函數(shù)被調(diào)用

(圖2)中的函數(shù)在\core\shop\controller\ctl.product.php 文件中被調(diào)用。

由于漏洞影響用戶眾多，且對網(wǎng)站危害較大，所以360安全檢測平臺在***時間向旗下用戶發(fā)送了告警郵件，同時建議所有使用ShopEx用戶立即下載安裝官方提供的補(bǔ)丁進(jìn)行修復(fù)，并定期使用360安全檢測服務(wù)隨時掌控網(wǎng)站安全狀態(tài)。

ShopEx官方補(bǔ)丁下載地址：http://bbs.shopex.cn/read.php?tid-269636.html

關(guān)于360網(wǎng)站安全檢測平臺(服務(wù)網(wǎng)址：http://webscan.# )

360網(wǎng)站安全檢測平臺是國內(nèi)***集網(wǎng)站漏洞檢測、網(wǎng)站掛馬監(jiān)控、網(wǎng)站篡改監(jiān)控于一體的免費檢測平臺，擁有全面的網(wǎng)站漏洞庫及蜜罐集群檢測系統(tǒng)，能夠***時間協(xié)助網(wǎng)站檢測修復(fù)漏洞。2011年，360網(wǎng)站安全監(jiān)測平臺曾協(xié)同360團(tuán)購導(dǎo)航，為國內(nèi)數(shù)百家主流團(tuán)購網(wǎng)站提供了免費網(wǎng)站漏洞檢測服務(wù)并提供修復(fù)建議，提高了團(tuán)購網(wǎng)站整體安全水平。