近日，烏云漏洞平臺爆料稱ShopEx 4.8.5版存在SQL注入漏洞(http://www.wooyun.org/bugs/wooyun-2010-08597 )，黑客利用該漏洞可獲得網站管理員密碼，進而控制網站服務器，竊取用戶帳號密碼(又稱為“拖庫”)。360網站安全檢測平臺發(fā)現，目前絕大多數ShopEx網站用戶均存在該漏洞，主要為電子商務類網店。

360網站安全檢測平臺服務網址：http://webscan.#

ShopEx是國內市場占有率***的網店軟件之一，眾多知名商城網店、分銷網站，以及品牌商城均使用ShopEx建站并進行管理。SQL注入則是最常見的網站高危漏洞，之前CSDN等網站泄密大多與SQL注入漏洞有關。黑客利用ShopEx的漏洞獲取管理員MD5密碼后，可碰撞破解獲得原始密碼，破解成功率一般在95%以上。

360網站安全檢測平臺分析認為，導致ShopEx SQL注入漏洞的核心函數是：\core\model_v5\trading\mdl.goods.php(圖1)

圖1：導致ShopEx存在SQL注入漏洞的核心函數

圖2：函數被調用

(圖2)中的函數在\core\shop\controller\ctl.product.php 文件中被調用。

由于漏洞影響用戶眾多，且對網站危害較大，所以360安全檢測平臺在***時間向旗下用戶發(fā)送了告警郵件，同時建議所有使用ShopEx用戶立即下載安裝官方提供的補丁進行修復，并定期使用360安全檢測服務隨時掌控網站安全狀態(tài)。

ShopEx官方補丁下載地址：http://bbs.shopex.cn/read.php?tid-269636.html

關于360網站安全檢測平臺(服務網址：http://webscan.# )

360網站安全檢測平臺是國內***集網站漏洞檢測、網站掛馬監(jiān)控、網站篡改監(jiān)控于一體的免費檢測平臺，擁有全面的網站漏洞庫及蜜罐集群檢測系統(tǒng)，能夠***時間協(xié)助網站檢測修復漏洞。2011年，360網站安全監(jiān)測平臺曾協(xié)同360團購導航，為國內數百家主流團購網站提供了免費網站漏洞檢測服務并提供修復建議，提高了團購網站整體安全水平。