3月29日，360網(wǎng)站安全檢測平臺發(fā)布漏洞警報稱，國內(nèi)大量B2C網(wǎng)上商城正面臨高危漏洞威脅，可能導(dǎo)致網(wǎng)站被黑客入侵控制、消費(fèi)者帳號密碼等數(shù)據(jù)泄露。據(jù)悉，這部分網(wǎng)站使用了老版本ECShop網(wǎng)店建站系統(tǒng)，至今未修復(fù)一個曝光多年的“本地文件包含漏洞”，為此360網(wǎng)站安全檢測平臺已通知客戶升級ECShop版本，并提供更便捷的代碼修復(fù)方案。

360網(wǎng)站安全檢測平臺服務(wù)網(wǎng)址：http://webscan.360.cn

據(jù)了解，ECShop是業(yè)界知名的B2C開源網(wǎng)店系統(tǒng)，適合企業(yè)及個人快速構(gòu)建個性化網(wǎng)上商城。早在2010年4月，ECShop官方版本修復(fù)了“本地文件包含漏洞”，但由于大批網(wǎng)站欠缺安全意識，遲遲沒有升級到V2.7.2及以上版本，因此才會給黑客長期攻擊漏洞的機(jī)會，這部分網(wǎng)站比例高達(dá)40%。

經(jīng)360安全工程師分析，舊版ECShop漏洞源于js/calendar/ calendar.php 文件，“由于$lang變量的檢測不嚴(yán)。黑客可以繞過一些邏輯判斷，將惡意字符串帶入include_once包含語句，造成‘本地文件包含漏洞’利用。”

圖：360WebScan分析舊版ECShop“本地文件包含漏洞”

360安全工程師表示，黑客借該漏洞可能獲取網(wǎng)站服務(wù)器內(nèi)敏感信息，甚至執(zhí)行任意代碼，進(jìn)而獲取應(yīng)用程序和服務(wù)器權(quán)限，對B2C電商網(wǎng)站用戶數(shù)據(jù)和賬戶信息形成威脅。同時由于漏洞曝光日久，漏洞原理和攻擊方法已廣泛傳開，這類“老漏洞”往往更容易吸引大批黑客入侵。

為保護(hù)電商網(wǎng)站業(yè)務(wù)和消費(fèi)者數(shù)據(jù)安全，360建議使用舊版ECShop系統(tǒng)的電商網(wǎng)站立即升級至官方最新版本，或修改代碼來封堵漏洞，方法如下：

打開 js/calendar/ calendar.php 文件，找到文件判斷位置：
if (!file_exists('../languages/' . $lang . '/calendar.php'))
{
    $lang = 'zh_cn';
}
按照ECShop官方解決方案將if語句修改為：
if (!file_exists('../languages/' . $lang . '/calendar.php') || strrchr($lang,'.'))

或采取360解決方案修改代碼如下：
if (!file_exists('../languages/' . $lang . '/calendar.php') || !in_array($lang,array("en_us","zh_cn","zh_tw"),true))