免费人成网站免费看视频,国产免费踩踏调教视频,亚洲中文有码字幕日本,亚洲国产成人久久综合下载

TPshop開源商城系統(tǒng)v1.2.9審計報告

一、漏洞情況分析

此套開源系統(tǒng)基于Thinkphp開發(fā)框架開發(fā)， 程序存在多處SQL注入等高危漏洞。CNVD 測試結果表明，該漏洞無需任何特權信息或身份驗證，就可以獲得數(shù)據(jù)庫所有的信息、用戶名與密碼等信息，進一步利用可威脅到服務器的安全。

二、漏洞影響范圍

CNVD 對該漏洞的綜合評級為“高?！?。

受該漏洞影響的產品包括：Tpshop V1.2.9版本。目前，根據(jù)CNVD 合作伙伴以及相關白帽子的測試結果，一些互聯(lián)網電商企業(yè)的網站服務器受到影響。由于此套開源系統(tǒng)免費下載，因此對服務提供商以及用戶造成的威脅范圍將會進一步擴大。互聯(lián)網上已經出現(xiàn)了針對該漏洞的攻擊利用代碼，預計在近期針對該漏洞的攻擊將呈現(xiàn)激增趨勢。

三、漏洞處置建議

目前，Tpshop2.0版本已發(fā)布，官方已修復該漏洞。CNVD 建議相關用戶及時下載使用。如無法及時升級，可參考修改程序加入防注入代碼。

相關安全公告鏈接參考如下：

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11222

附：國家互聯(lián)網應急中心和國家信息安全漏洞共享平臺簡介

國家互聯(lián)網應急中心（CNCERT）成立于1999年9月，是工業(yè)和信息化部領導下的國家級網絡安全應急機構，致力于建設國家級的網絡安全監(jiān)測中心、預警中心、應急中心，以支撐政府主管部門履行網絡安全相關的社會管理和公共服務職能，支持基礎信息網絡的安全防護和安全運行，支援重要信息系統(tǒng)的網絡安全監(jiān)測、預警和處置。

國家信息安全漏洞共享平臺（CNVD）是由CNCERT聯(lián)合國內重要信息系統(tǒng)單位、基礎電信運營商、網絡安全廠商、軟件廠商和互聯(lián)網企業(yè)建立的信息安全漏洞信息共享知識庫。其主要目標即與國家政府部門、重要信息系統(tǒng)用戶、運營商、主要安全廠商、軟件廠商、科研機構、公共互聯(lián)網用戶等共同建立軟件安全漏洞統(tǒng)一收集驗證、預警發(fā)布及應急處置體系，切實提升我國在安全漏洞方面的整體研究水平和及時預防能力，進而提高我國信息系統(tǒng)及國產軟件的安全性，帶動國內相關安全產品的發(fā)展。