2月24日消息,安全廠商近日發布漏洞修復報告稱,國內團購常用的“最土團購程序”部分版本曝出SQL注入漏洞,可能導致大批團購網站被黑客拖庫,甚至泄露團購用戶的消費憑據。
據悉,“最土團購程序”是免費開源的團購系統平臺,覆蓋國內千余家團購網站,包括不少知名大型團購網站。去年該程序的開發商“最土網”被美團網收購,目前仍為國內中小型團購網站提供后臺程序支持。
近日,360網站安全檢測平臺發布漏洞修復報告指出,目前使用“最土團購程序”的網站中,有66%的團購網站存在該SQL注入漏洞,可能導致大批團購網站被黑客拖庫,甚至泄露團購用戶的消費憑據。報告還稱,網上現已出現針對“最土團購程序”漏洞的黑客攻擊,甚至“最土”官網中的Demo(演示)站點也未能幸免。
安全廠商提供的“最土團購”SQL漏洞代碼(TechWeb配圖)
360安全人士分析認為,“這是一次比較典型、也是非常經典的數組key變量污染漏洞。‘最土團購’建站程序的代碼中,由于函數的過濾不嚴格,導致了黑客可以通過提交惡意代碼,控制程序流程,來繞過登錄時的判斷,直接進入網站后臺。”
上述安全人士稱,利用“最土團購程序”漏洞,黑客可篡改團購活動、商品價格、訂單、退款、發貨記錄等重要數據,并拖庫竊取團購用戶的注冊郵箱和密碼。
截至目前,最土網尚未對此作出回應,美團網相關人員則表示正在了解情況。
推薦閱讀
美食狂歡節上線以來,人氣火爆,金錢豹、全聚德、黃記煌等50家精品美食名店傾力加盟,日均有近50萬網友爭相體驗美食狂歡盛宴。據統計,已經有超過55萬網友參與瘋狂大轉盤抽獎免費霸王餐 【IT商業新聞網訊】(記者 子>>>詳細閱讀
本文標題:最土團購程序被指存安全漏洞 竊取用戶信息
地址:http://m.sdlzkt.com/a/guandian/yejie/20111230/165693.html
網友點評
精彩導讀
科技快報
品牌展示