ECSHOP是熱門電商建站系統，很多知名電商都在使用。如果系統出現漏洞，被入侵甚至拖庫，將給網站和用戶帶來巨大損失。近日，360網站安全第三方漏洞收集平臺收到白帽子提交的ECSHOP二次注入高危漏洞，黑客可以利用此漏洞直接執行SQL語句，可以獲取數據、修改數據、刪除數據，甚至寫入后門，進而控制服務器。對此，360已于第一時間向ECSHOP通報了該漏洞細節并協助推出了官方修復補丁，請使用該建站程序的網站站長盡快修復。補丁地址：http://bbs.ecshop.com/thread-1131753-1-1.html

“360第三方漏洞收集平臺”是360公司推出的漏洞懸賞項目，以現金獎勵方式征集開源建站系統漏洞，用以幫助軟件公司和開發者及時推出漏洞補丁，加強國內網站對黑客攻擊“拖庫”的防范能力。已經協助多家廠商修復了漏洞，涉及Discuz！、ShopEx、ECShop、PHPWind、PHPCMS、DEDECMS等知名建站系統。

對于無法立刻修復漏洞的網站，建議啟用360免費網站防護產品—360網站衛士，可以幫助網站防入侵、防攻擊、防篡改，而且可以快速配置。地址：http://wangzhan.360.cn/

附：漏洞原理：

漏洞存在mobile頁面，由于用戶注冊能使用任意字符作為用戶名，導致后續的二次注入漏洞，用戶注冊未過濾。

用構造好的語句當做用戶名注冊用戶，存入數據庫，后續會對用戶名做查詢操作導致產生了sql注入攻擊。

漏洞利用效果

直接插入構造好的sql語句來注冊用戶名，然后登入