2月24日消息,安全廠商近日發布漏洞修復報告稱,國內團購常用的“最土團購程序”部分版本曝出SQL注入漏洞,可能導致大批團購網站被黑客拖庫,甚至泄露團購用戶的消費憑據。
據悉,“最土團購程序”是免費開源的團購系統平臺,覆蓋國內千余家團購網站,包括不少知名大型團購網站。去年該程序的開發商“最土網”被美團網收購,目前仍為國內中小型團購網站提供后臺程序支持。
近日,360網站安全檢測平臺發布漏洞修復報告指出,目前使用“最土團購程序”的網站中,有66%的團購網站存在該SQL注入漏洞,可能導致大批團購網站被黑客拖庫,甚至泄露團購用戶的消費憑據。報告還稱,網上現已出現針對“最土團購程序”漏洞的黑客攻擊,甚至“最土”官網中的Demo(演示)站點也未能幸免。
360安全人士分析認為,“這是一次比較典型、也是非常經典的數組key變量污染漏洞。‘最土團購’建站程序的代碼中,由于函數的過濾不嚴格,導致了黑客可以通過提交惡意代碼,控制程序流程,來繞過登錄時的判斷,直接進入網站后臺。”
上述安全人士稱,利用“最土團購程序”漏洞,黑客可篡改團購活動、商品價格、訂單、退款、發貨記錄等重要數據,并拖庫竊取團購用戶的注冊郵箱和密碼。
截至目前,最土網尚未對此作出回應,美團網相關人員則表示正在了解情況。
推薦閱讀
善變的用戶 社交游戲90%曇花一現 Zynga投靠騰訊征戰中國
“Zynga的《星佳城市》游戲注冊用戶超過1000萬,活躍用戶超過了百萬級。怎么可能排在騰訊空間游戲的后十名?”Zynga中國區總經理田行智給鳳凰網科技演示《星佳城市》,并展示了騰訊空間的游戲排行榜,當天的《星佳城>>>詳細閱讀
地址:http://m.sdlzkt.com/a/guandian/yejie/20111230/165663.html
網友點評
精彩導讀
科技快報
品牌展示