一、安装说明:
1、使用FTP把文件上传到网站对应目录下并覆盖文件(注意:覆盖之前请先备份原文件,以防出错!);
2、后台/关于/清空缓存;
二、修复的漏洞说明:
跨站脚本1中危 XSS 跨站脚本漏洞 漏洞列表
中危 http://www.XXXXXX.com/passport-verify.html
请求POST
参数ref_url
passwd=&ref_url='><script>confirm(0261)</script>&isfastbuy=&loginverifycode=&forward=&login=
----★★友情提醒:ShopEx系统安全使用须知★★----
ShopEx系统是一款用户数量庞大的网店系统,易用性,功能强大等特点深受用户喜爱。同时也可能会被很多黑客研究利用(这其实是每个知名系统都会面临的问题,不单单是ShopEx系统)。为最大限度降低被黑客攻击的风险,本站特别总结以下几点安全防护知识,请广大网商注意:
1、将系统中的install目录删除,留着也是摆看。里面有涉及到检测系统环境的程序,很容易被利用。
2、后台的保护。首先是账号密码的保护,其次是后台管理目录的修改。务必把默认的后台目录改掉,改成其它不容易被猜到的目录。ShopEx默认的后台目录是shopadmin,您可以改为任意名称如aaaa(当然越复杂的越好),这样即使别人知道后台账号密码也不知道后台在哪登录。
3、去除系统上的页面版权(需要修改一些程序,如有需要,请联系我们),越彻底越好,从代码层面去除它。很多时候,某些人获知某个系统有漏洞的时候,总是会通过搜索相应的系统名称来得到使用这个系统的那些网站,然后实施攻击;
4、PHP环境安全配置,如在PHP.ini文件中关闭页面错误信息显示display_errors=Off,或直接在ShopEx的config.php文件中配置ini_set("display_errors","Off");,可以防止某些程序在报错的时候无意中泄露网站物理路径,被黑客利用。
5、MySql数据库账号安全配置,不要图一时省事给网站直接使用root账号而给的最高权限,给网站单独分配普通账号,并且不允许远程连接,仅给予其最基本的数据库操作权限,如增删改查。
6、有些店家为了方便管理数据库,直接在网站目录下放置了如phpMyadmin等第三方数据库管理程序,建议对这些系统也做好安全处理,最直接的方法就是将目录名称改掉,不使用默认名称,这些黑客也无法猜到。
7、服务器日常巡检维护。经常上服务器各目录查看查看,以便及时可以发现一些可疑文件,如通过文件或文件夹的最近修改时间,可以分析出一些踪迹。
8、关注官方论坛,随时了解版本升级动态,及时更新安全补丁。
详情请进:http://www.myshopex.com/view/2012/1005/265.html
