ShopXP购物系统爆高危安全漏洞 SCANV团队独家提供解决方案

近日，有署名为“zpino”漏洞研究者公布了一个针对“ShopXP网上购物系统”的一个高危安全漏洞。该漏洞存在于文件admin/pinglun.asp里，影响ShopXP购物系统多个版本。攻击者可通过该漏洞猜解后台管理员密码hash后进一步入侵整个网站系统，导致网站被“脱库”、“挂马”并沦为“肉鸡”。由于官方不提供技术支持及安全维护，所以SCANV团队独家提供了解决方案，建议广大站长朋友们及时部署，保障网站安全。经测试@百度加速乐 无需更新即可防御该漏洞，请用户放心使用。

 

关于“ShopXP网上购物系统”

Shopxp网上购物系统是一个经过完善设计的经典商城购物管理系统，适用于各种服务器环境的高效网上购物网站建设解决方案。基于asp＋Access、Mssql为免费开源程序，在互联网上有广泛的应用。

漏洞演示（如下图）
 

解决方案

 

一、漏洞补丁安装

 

打开admin/pinglun.asp代码，将代码：

<!--#includefile="xp.asp"-->

 

修改为：

<!--#includefile="xp.asp"-->

<%ifsession("shopxpadmin")="" then

response.Write "<scriptlanguage='javascript'>alert('网络超时或您还没有登陆！');window.location.href='login.asp';</script>"

response.End

else

if session("viphd")=0 then

response.Write "<palign=center><font color=red>您没有此项目管理权限！</font></p>"

response.End

end if

end if

%>

 

将代码：

pinglunid=request.QueryString("id")

 

修改为：

pinglunid=CInt(request.QueryString("id"))

 

修改代码后保存。为了发布站长朋友，我们提供了已经修改好的pinglun.asp

 

下载地址：

http://bbs.anquan.org/forum.php?mod=viewthread&tid=22021&extra=page%3D1

 

下载后直接上传并覆盖admin目录下的pinglun.asp文件。

 

二、启用百度加速乐可零部署防御各种安全漏洞，并提供网站加速、抗DDOS服务。

 

关于我们

 

“安全联盟站长平台” 是安全联盟 为站长朋友们打造的一款在线网站安全一体化解决方案平台,由中国领先的互联 网安全提供商知道创宇运营,联结多家国内知名安全厂商提供安全支持的。 同 时由百度官方和腾讯等知名互联网厂商唯一推荐。历史上,给微软、谷歌、百度、 腾讯、阿里巴巴、新浪、 搜狐、网易等数百家大网站,近百家 Web 应用服务 商以及数十万中小网站提供过安全解决方案,并得到他们的感谢。

 

“安全联盟“安全联盟旨在促成一个中立、公正、可控的第三方组织，团结有实力的安全类相关公司进行资源共享，建立被行业公认的互联网安全标准，优化中国互联网使用环境，促成互联网用户对于联盟及参与者的信赖。目前已经与百度、腾讯、招商银行等近800家机构、企业等官方网站达成合作。 安全联盟通过完善的技术和网络平台，从传播源头、展示渠道、访问行为等多方面对网络不良信息进行治理；另一方面，安全联盟还联动政府监管部门，发动全民乃至全社会力量，加大力度净化网络环境、普及安全上网知识。

 

“加速乐”加速乐推出于2011年，致力于系统化解决网站访问速度过慢及网站反黑客问题。加速乐拥有一支由业内资深技术专家、优秀的管理及服务人才组成的运营团队， 有着丰富的互联网技术及企业应用运营服务从业经验。长期专注于CDN服务、智能DNS、DDOS攻击防护、WEB安全防护等。百度官方推荐使用加速乐防御黑客攻击。目前包括国家互联网应急中心、国务院中央政府采购网均在使用加速乐做为网站安全防护解决方案。加速乐平均可提升网站访问速度200%以上，网站 访问量提升19%，全面杜绝黑客攻击。每运行1天，相当于为每位用户延长2.5秒的生命，加速乐的设计初衷即是：帮助和保护整个互联网。

 

“知道创宇”全称为北京知道创宇信息技术有限公司。是国内最早提出网站安全云监测及云防御的高新企业,始终致力于为客户提供基于云技术支撑的下一代Web 安全解决方案。 知道创宇总部设在北京,在香港、上海、广州、成都设有分公司,客户及合作伙伴来自中国、 美国、日本、韩国等。凭借强大的云安全技术与产品的高可用性、易管理性、合规性和业务 连续性、以及动态保障关键 Web 数据资产安全的能力,帮助用户应对变化多端的互联网安 全威胁,赢得了企业、政府与公共机构的青睐。知道创宇安全实验室在零日安全威胁与云安 全技术方面的研究得到了业内的广泛认同并享有极高知名度。