近日,有署名为“zpino”漏洞研究者公布了一个针对“ShopXP网上购物系统”的一个高危安全漏洞。该漏洞存在于文件admin/pinglun.asp里,影响ShopXP购物系统多个版本。攻击者可通过该漏洞猜解后台管理员密码hash后进一步入侵整个网站系统,导致网站被“脱库”、“挂马”并沦为“肉鸡”。由于官方不提供技术支持及安全维护,所以SCANV团队独家提供了解决方案,建议广大站长朋友们及时部署,保障网站安全。经测试@百度加速乐 无需更新即可防御该漏洞,请用户放心使用。
关于“ShopXP网上购物系统”
Shopxp网上购物系统是一个经过完善设计的经典商城购物管理系统,适用于各种服务器环境的高效网上购物网站建设解决方案。基于asp+Access、Mssql为免费开源程序,在互联网上有广泛的应用。
漏洞演示(如下图)
解决方案
一、漏洞补丁安装
打开admin/pinglun.asp代码,将代码:
<!--#include file="xp.asp"-->
修改为:
<!--#include file="xp.asp"-->
<%if session("shopxpadmin")="" then
response.Write "<script language='javascript'>alert('网络超时或您还没有登陆!');window.location.href='login.asp';</script>"
response.End
else
if session("viphd")=0 then
response.Write "<p align=center><font color=red>您没有此项目管理权限!</font></p>"
response.End
end if
end if
%>
将代码:
pinglunid=request.QueryString("id")
修改为:
pinglunid=CInt(request.QueryString("id"))
修改代码后保存。为了发布站长朋友,我们提供了已经修改好的pinglun.asp
下载地址:
http://bbs.anquan.org/forum.php?mod=viewthread&tid=22021&extra=page%3D1
下载后直接上传并覆盖admin目录下的pinglun.asp文件。
二、启用百度加速乐可零部署防御各种安全漏洞,并提供网站加速、抗DDOS服务。
关于我们
“安全联盟站长平台” 是安全联盟 为站长朋友们打造的一款在线网站安全一体化解决方案平台,由中国领先的互联 网安全提供商知道创宇运营,联结多家国内知名安全厂商提供安全支持的。 同 时由百度官方和腾讯等知名互联网厂商唯一推荐。历史上,给微软、谷歌、百度、 腾讯、阿里巴巴、新浪、 搜狐、网易等数百家大网站,近百家 Web 应用服务 商以及数十万中小网站提供过安全解决方案,并得到他们的感谢。
“安全联盟“安全联盟旨在促成一个中立、公正、可控的第三方组织,团结有实力的安全类相关公司进行资源共享,建立被行业公认的互联网安全标准,优化中国互联网使用环境,促成互联网用户对于联盟及参与者的信赖。目前已经与百度、腾讯、招商银行等近800家机构、企业等官方网站达成合作。 安全联盟通过完善的技术和网络平台,从传播源头、展示渠道、访问行为等多方面对网络不良信息进行治理;另一方面,安全联盟还联动政府监管部门,发动全民乃至全社会力量,加大力度净化网络环境、普及安全上网知识。
“加速乐”加速乐推出于2011年,致力于系统化解决网站访问速度过慢及网站反黑客问题。加速乐拥有一支由业内资深技术专家、优秀的管理及服务人才组成的运营团队, 有着丰富的互联网技术及企业应用运营服务从业经验。长期专注于CDN服务、智能DNS、DDOS攻击防护、WEB安全防护等。百度官方推荐使用加速乐防御黑客攻击。目前包括国家互联网应急中心、国务院中央政府采购网均在使用加速乐做为网站安全防护解决方案。加速乐平均可提升网站访问速度200%以上,网站 访问量提升19%,全面杜绝黑客攻击。每运行1天,相当于为每位用户延长2.5秒的生命,加速乐的设计初衷即是:帮助和保护整个互联网。
“知道创宇”全称为北京知道创宇信息技术有限公司。是国内最早提出网站安全云监测及云防御的高新企业,始终致力于为客户提供基于云技术支撑的下一代Web 安全解决方案。 知道创宇总部设在北京,在香港、上海、广州、成都设有分公司,客户及合作伙伴来自中国、 美国、日本、韩国等。凭借强大的云安全技术与产品的高可用性、易管理性、合规性和业务 连续性、以及动态保障关键 Web 数据资产安全的能力,帮助用户应对变化多端的互联网安 全威胁,赢得了企业、政府与公共机构的青睐。知道创宇安全实验室在零日安全威胁与云安 全技术方面的研究得到了业内的广泛认同并享有极高知名度。
关于“ShopXP网上购物系统”
Shopxp网上购物系统是一个经过完善设计的经典商城购物管理系统,适用于各种服务器环境的高效网上购物网站建设解决方案。基于asp+Access、Mssql为免费开源程序,在互联网上有广泛的应用。
漏洞演示(如下图)
解决方案
一、漏洞补丁安装
打开admin/pinglun.asp代码,将代码:
<!--#include file="xp.asp"-->
修改为:
<!--#include file="xp.asp"-->
<%if session("shopxpadmin")="" then
response.Write "<script language='javascript'>alert('网络超时或您还没有登陆!');window.location.href='login.asp';</script>"
response.End
else
if session("viphd")=0 then
response.Write "<p align=center><font color=red>您没有此项目管理权限!</font></p>"
response.End
end if
end if
%>
将代码:
pinglunid=request.QueryString("id")
修改为:
pinglunid=CInt(request.QueryString("id"))
修改代码后保存。为了发布站长朋友,我们提供了已经修改好的pinglun.asp
下载地址:
http://bbs.anquan.org/forum.php?mod=viewthread&tid=22021&extra=page%3D1
下载后直接上传并覆盖admin目录下的pinglun.asp文件。
二、启用百度加速乐可零部署防御各种安全漏洞,并提供网站加速、抗DDOS服务。
关于我们
“安全联盟站长平台” 是安全联盟 为站长朋友们打造的一款在线网站安全一体化解决方案平台,由中国领先的互联 网安全提供商知道创宇运营,联结多家国内知名安全厂商提供安全支持的。 同 时由百度官方和腾讯等知名互联网厂商唯一推荐。历史上,给微软、谷歌、百度、 腾讯、阿里巴巴、新浪、 搜狐、网易等数百家大网站,近百家 Web 应用服务 商以及数十万中小网站提供过安全解决方案,并得到他们的感谢。
“安全联盟“安全联盟旨在促成一个中立、公正、可控的第三方组织,团结有实力的安全类相关公司进行资源共享,建立被行业公认的互联网安全标准,优化中国互联网使用环境,促成互联网用户对于联盟及参与者的信赖。目前已经与百度、腾讯、招商银行等近800家机构、企业等官方网站达成合作。 安全联盟通过完善的技术和网络平台,从传播源头、展示渠道、访问行为等多方面对网络不良信息进行治理;另一方面,安全联盟还联动政府监管部门,发动全民乃至全社会力量,加大力度净化网络环境、普及安全上网知识。
“加速乐”加速乐推出于2011年,致力于系统化解决网站访问速度过慢及网站反黑客问题。加速乐拥有一支由业内资深技术专家、优秀的管理及服务人才组成的运营团队, 有着丰富的互联网技术及企业应用运营服务从业经验。长期专注于CDN服务、智能DNS、DDOS攻击防护、WEB安全防护等。百度官方推荐使用加速乐防御黑客攻击。目前包括国家互联网应急中心、国务院中央政府采购网均在使用加速乐做为网站安全防护解决方案。加速乐平均可提升网站访问速度200%以上,网站 访问量提升19%,全面杜绝黑客攻击。每运行1天,相当于为每位用户延长2.5秒的生命,加速乐的设计初衷即是:帮助和保护整个互联网。
“知道创宇”全称为北京知道创宇信息技术有限公司。是国内最早提出网站安全云监测及云防御的高新企业,始终致力于为客户提供基于云技术支撑的下一代Web 安全解决方案。 知道创宇总部设在北京,在香港、上海、广州、成都设有分公司,客户及合作伙伴来自中国、 美国、日本、韩国等。凭借强大的云安全技术与产品的高可用性、易管理性、合规性和业务 连续性、以及动态保障关键 Web 数据资产安全的能力,帮助用户应对变化多端的互联网安 全威胁,赢得了企业、政府与公共机构的青睐。知道创宇安全实验室在零日安全威胁与云安 全技术方面的研究得到了业内的广泛认同并享有极高知名度。
989
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
