时时彩组六计划
中新网安安全研究院2017年1月安全报告


TPshop开源商城系统v1.2.9审计报告

1488098780430279.png

 

一、漏洞情况分析

此套开源系统基于Thinkphp开发框架开发, 程序存在多处SQL注入等高危漏洞。CNVD 测试结果表明,该漏洞无需任何特权信息或身份验证,就可以获得数据库所有的信息、用户名与密码等信息,进一步利用可威胁到服务器的安全。

  

二、漏洞影响范围

CNVD 对该漏洞的综合评级为?#26696;?#21361;”。

1490171463306046.png

受该漏洞影响的产品包括:Tpshop V1.2.9版本。目前,根据CNVD 合作伙伴以及相关白帽子的测试结果,一些互联网电商企业的网站服务器受到影响。由于此套开源系统免?#20005;?#36733;,因此对服务提供商以及用户造成的威胁范围将会进一步扩大。互联网上已经出现了针对该漏洞的攻击利用代码,预计在近期针对该漏洞的攻击将呈现激增趋势。

  

三、漏洞处置建议

目前,Tpshop2.0版本已发布,官方?#30740;?#22797;该漏洞。CNVD 建议相关用户及时下载使用。如无法及时升级,可参考修改程序加入防注入代码。

相关安全公告链接参考如下:

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11222

 

附:国家互联网应急中心和国家信息安全漏洞共享平台简介

国家互联网应急中心(CNCERT)成立于1999年9月,是工业和信息化部领导下的国家级网络安全应急机构,致力于建设国家级的网络安全监测中心、预警中心、应急中心,以支撑政府主管部门履行网络安全相关的社会管理和公共服务职能,支持基础信息网络的安全防护和安全运行,支援重要信息系统的网络安全监测、预警和处置。

国家信息安全漏洞共享平台(CNVD)是由CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。其主要目标即与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集验证、预警发?#25216;?#24212;急处置体系,切实提升我国在安全漏洞方面的整体研究水平和及时预防能力,进而提高我国信息系统及国产软件的安全性,带动国内相关安全产品的发展。


时时彩组六计划 体育彩票的微信名 金博棋牌哪个是真网址 喜乐彩中二个有没有钱 广西11选5走势图表 全天北京快乐8在线计划 河南泳坛夺金技巧 波克城市官方正版下载 福彩开奖272期 浙江十一选五开奖一定 吉林11选5玩法技巧