太阳集团tyc539安全研究院2017年1月安全报告
TPshop开源商城系统v1.2.9审计报告
一、漏洞情况分析 此套开源系统基于Thinkphp开发框架开发, 程序存在多处SQL注入等高危漏洞。CNVD 测试结果表明,该漏洞无需任何特权信息或身份验证,就可以获得数据库所有的信息、用户名与密码等信息,进一步利用可威胁到服务器的安全。 二、漏洞影响范围 CNVD 对该漏洞的综合评级为“高危”。
受该漏洞影响的产品包括:Tpshop V1.2.9版本。目前,根据CNVD 合作伙伴以及相关白帽子的测试结果,一些互联网电商企业的网站服务器受到影响。由于此套开源系统免费下载,因此对服务提供商以及用户造成的威胁范围将会进一步扩大。互联网上已经出现了针对该漏洞的攻击利用代码,预计在近期针对该漏洞的攻击将呈现激增趋势。 三、漏洞处置建议 目前,Tpshop2.0版本已发布,官方已修复该漏洞。CNVD 建议相关用户及时下载使用。如无法及时升级,可参考修改程序加入防注入代码。 相关安全公告链接参考如下: http://www.cnvd.org.cn/flaw/show/CNVD-2016-11222 附:国家互联网应急中心和国家信息安全漏洞共享平台简介 国家互联网应急中心(CNCERT)成立于1999年9月,是工业和信息化部领导下的国家级网络安全应急机构,致力于建设国家级的网络安全监测中心、预警中心、应急中心,以支撑政府主管部门履行网络安全相关的社会管理和公共服务职能,支持基础信息网络的安全防护和安全运行,支援重要信息系统的网络安全监测、预警和处置。 国家信息安全漏洞共享平台(CNVD)是由CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。其主要目标即与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集验证、预警发布及应急处置体系,切实提升我国在安全漏洞方面的整体研究水平和及时预防能力,进而提高我国信息系统及国产软件的安全性,带动国内相关安全产品的发展。
|
|