TPshop開(kāi)源商城系統(tǒng)v1.2.9審計(jì)報(bào)告 
一、漏洞情況分析 此套開(kāi)源系統(tǒng)基于Thinkphp開(kāi)發(fā)框架開(kāi)發(fā), 程序存在多處SQL注入等高危漏洞。CNVD 測(cè)試結(jié)果表明,該漏洞無(wú)需任何特權(quán)信息或身份驗(yàn)證,就可以獲得數(shù)據(jù)庫(kù)所有的信息、用戶名與密碼等信息,進(jìn)一步利用可威脅到服務(wù)器的安全。 二、漏洞影響范圍 CNVD 對(duì)該漏洞的綜合評(píng)級(jí)為“高危”。 
受該漏洞影響的產(chǎn)品包括:Tpshop V1.2.9版本。目前,根據(jù)CNVD 合作伙伴以及相關(guān)白帽子的測(cè)試結(jié)果,一些互聯(lián)網(wǎng)電商企業(yè)的網(wǎng)站服務(wù)器受到影響。由于此套開(kāi)源系統(tǒng)免費(fèi)下載,因此對(duì)服務(wù)提供商以及用戶造成的威脅范圍將會(huì)進(jìn)一步擴(kuò)大。互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)了針對(duì)該漏洞的攻擊利用代碼,預(yù)計(jì)在近期針對(duì)該漏洞的攻擊將呈現(xiàn)激增趨勢(shì)。 三、漏洞處置建議 目前,Tpshop2.0版本已發(fā)布,官方已修復(fù)該漏洞。CNVD 建議相關(guān)用戶及時(shí)下載使用。如無(wú)法及時(shí)升級(jí),可參考修改程序加入防注入代碼。 相關(guān)安全公告鏈接參考如下: http://www.cnvd.org.cn/flaw/show/CNVD-2016-11222 附:國(guó)家互聯(lián)網(wǎng)應(yīng)急中心和國(guó)家信息安全漏洞共享平臺(tái)簡(jiǎn)介 國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)成立于1999年9月,是工業(yè)和信息化部領(lǐng)導(dǎo)下的國(guó)家級(jí)網(wǎng)絡(luò)安全應(yīng)急機(jī)構(gòu),致力于建設(shè)國(guó)家級(jí)的網(wǎng)絡(luò)安全監(jiān)測(cè)中心、預(yù)警中心、應(yīng)急中心,以支撐政府主管部門(mén)履行網(wǎng)絡(luò)安全相關(guān)的社會(huì)管理和公共服務(wù)職能,支持基礎(chǔ)信息網(wǎng)絡(luò)的安全防護(hù)和安全運(yùn)行,支援重要信息系統(tǒng)的網(wǎng)絡(luò)安全監(jiān)測(cè)、預(yù)警和處置。 國(guó)家信息安全漏洞共享平臺(tái)(CNVD)是由CNCERT聯(lián)合國(guó)內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運(yùn)營(yíng)商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的信息安全漏洞信息共享知識(shí)庫(kù)。其主要目標(biāo)即與國(guó)家政府部門(mén)、重要信息系統(tǒng)用戶、運(yùn)營(yíng)商、主要安全廠商、軟件廠商、科研機(jī)構(gòu)、公共互聯(lián)網(wǎng)用戶等共同建立軟件安全漏洞統(tǒng)一收集驗(yàn)證、預(yù)警發(fā)布及應(yīng)急處置體系,切實(shí)提升我國(guó)在安全漏洞方面的整體研究水平和及時(shí)預(yù)防能力,進(jìn)而提高我國(guó)信息系統(tǒng)及國(guó)產(chǎn)軟件的安全性,帶動(dòng)國(guó)內(nèi)相關(guān)安全產(chǎn)品的發(fā)展。
| 
