现在位置:首页 » 网站建设 »

最土团购程序被指存安全漏洞

时间:2012年02月24日 ⁄ 分类: 网站建设 评论:0

【TechWeb报道】2月24日消息,安全厂商近日发布漏洞修复报告称,国内团购常用的“最土团购程序”部分版本曝出SQL注入漏洞,可能导致大批团购网站被黑客拖库,甚至泄露团购用户的消费凭据。

据悉,“最土团购程序”是免费开源的团购系统平台,覆盖国内千余家团购网站,包括不少知名大型团购网站。去年该程序的开发商“最土网”被一家团购网站收购,目前仍为国内中小型团购网站提供后台程序支持。

近日,360网站安全检测平台发布漏洞修复报告指出,目前使用“最土团购程序”的网站中,有66%的团购网站存在该SQL注入漏洞,可能导致大批团购网站被黑客拖库,甚至泄露团购用户的消费凭据。报告还称,网上现已出现针对“最土团购程序”漏洞的黑客攻击,甚至“最土”官网中的Demo(演示)站点也未能幸免。

360安全人士分析认为,“这是一次比较典型、也是非常经典的数组key变量污染漏洞。‘最土团购’建站程序的代码中,由于函数的过滤不严格,导致了黑客可以通过提交恶意代码,控制程序流程,来绕过登录时的判断,直接进入网站后台。”

上述安全人士称,利用“最土团购程序”漏洞,黑客可篡改团购活动、商品价格、订单、退款、发货记录等重要数据,并拖库窃取团购用户的注册邮箱和密码。

随后,最土网CEO戴书文在网站论坛发布声明回应此事,称正在逐个通知使用最土系统的站长升级系统和打补丁。他表示“今年2月1日最土在论坛上已经做过此漏洞的提示,并及时发布了补丁,当时发布的补丁包含2个文件,针对某些自主修改的用户,我们在提示中,只提醒了站长升级其中的一个问题,忽略了另外一个文件。这是我们的失误,对此还是向要各位站长道歉!”

目前有 0 条评论