"

500万彩票官方网站-500万彩票官方登入-500万彩票官方网站拥有全球最顶尖的原生APP,每天为您提供千场精彩体育赛事,500万彩票官方网站-500万彩票官方登入-500万彩票官方网站更有真人、彩票、电子老虎机、真人电子竞技游戏等多种娱乐方式选择,500万彩票官方网站-500万彩票官方登入-500万彩票官方网站让您尽享娱乐、赛事投注等,且无后顾之忧!

<object id="guskc"></object>
<object id="guskc"></object>
<object id="guskc"><noscript id="guskc"></noscript></object>
<object id="guskc"></object>
<tt id="guskc"></tt>
<object id="guskc"></object>
<object id="guskc"><div id="guskc"></div></object>
<tt id="guskc"><rt id="guskc"></rt></tt>
"
中新网安安全研究院2017年1月安全报告


TPshop开源商城系统v1.2.9审计报告

1488098780430279.png

 

一、漏洞情况分析

此套开源系统基于Thinkphp开发框架开发500万彩票官方网站-500万彩票官方登入-500万彩票官方网站500万彩票官方网站-500万彩票官方登入-500万彩票官方网站, 程序存在多处SQL注入等高危漏洞。CNVD 测试结果表明,该漏洞无需任何特权信息或身份验证500万彩票官方网站-500万彩票官方登入-500万彩票官方网站,就可以获得数据库所有的信息、用户名与密码等信息,进一步利用可威胁到服务器的安全500万彩票官方网站-500万彩票官方登入-500万彩票官方网站。

  

二、漏洞影响范围

CNVD 对该漏洞的综合评级为“高?!?。

1490171463306046.png

受该漏洞影响的产品包括:Tpshop V1.2.9版本500万彩票官方网站-500万彩票官方登入-500万彩票官方网站。目前,根据CNVD 合作伙伴以及相关白帽子的测试结果,一些互联网电商企业的网站服务器受到影响500万彩票官方网站-500万彩票官方登入-500万彩票官方网站。由于此套开源系统免费下载500万彩票官方网站-500万彩票官方登入-500万彩票官方网站,因此对服务提供商以及用户造成的威胁范围将会进一步扩大?;チ弦丫鱿至苏攵愿寐┒吹墓セ骼么?00万彩票官方网站-500万彩票官方登入-500万彩票官方网站,预计在近期针对该漏洞的攻击将呈现激增趋势。

  

三、漏洞处置建议

目前500万彩票官方网站-500万彩票官方登入-500万彩票官方网站,Tpshop2.0版本已发布,官方已修复该漏洞500万彩票官方网站-500万彩票官方登入-500万彩票官方网站。CNVD 建议相关用户及时下载使用。如无法及时升级,可参考修改程序加入防注入代码。

相关安全公告链接参考如下:

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11222

 

附:国家互联网应急中心和国家信息安全漏洞共享平台简介

国家互联网应急中心(CNCERT)成立于1999年9月,是工业和信息化部领导下的国家级网络安全应急机构,致力于建设国家级的网络安全监测中心500万彩票官方网站-500万彩票官方登入-500万彩票官方网站、预警中心500万彩票官方网站-500万彩票官方登入-500万彩票官方网站、应急中心,以支撑政府主管部门履行网络安全相关的社会管理和公共服务职能,支持基础信息网络的安全防护和安全运行,支援重要信息系统的网络安全监测、预警和处置500万彩票官方网站-500万彩票官方登入-500万彩票官方网站。

国家信息安全漏洞共享平台(CNVD)是由CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。其主要目标即与国家政府部门、重要信息系统用户、运营商、主要安全厂商500万彩票官方网站-500万彩票官方登入-500万彩票官方网站、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集验证、预警发布及应急处置体系,切实提升我国在安全漏洞方面的整体研究水平和及时预防能力,进而提高我国信息系统及国产软件的安全性500万彩票官方网站-500万彩票官方登入-500万彩票官方网站,带动国内相关安全产品的发展。


500万彩票官方网站-500万彩票官方登入-500万彩票官方网站
<object id="guskc"></object>
<object id="guskc"></object>
<object id="guskc"><noscript id="guskc"></noscript></object>
<object id="guskc"></object>
<tt id="guskc"></tt>
<object id="guskc"></object>
<object id="guskc"><div id="guskc"></div></object>
<tt id="guskc"><rt id="guskc"></rt></tt>