ecshop漏洞於2018年9月12日被某安全組織披露爆出，該漏洞受影響範圍較廣，ecshop2.73版本以及目前最新的3.0、3.6、4.0版本都受此次ecshop漏洞的影響，主要漏洞是利用遠端程式碼執行sql注入語句漏洞，導致可以插入sql查詢程式碼以及寫入程式碼到網站伺服器裡，嚴重的可以直接獲取伺服器的管理員許可權，甚至有些網站使用的是虛擬主機，可以直接獲取網站ftp的許可權，該漏洞POC已公開，使用簡單，目前很多商城網站都被攻擊，危害較大，針對於此我們SINE安全對該ECSHOP漏洞的詳情以及如何修復網站的漏洞，及如何部署網站安全等方面進行詳細的解讀。

ecshop漏洞產生原因

全系列版本的ecshop網站漏洞，漏洞的根源是在網站根目錄下的user.php程式碼，在呼叫遠端函式的同時display賦值的地方可以直接插入惡意的sql注入語句，導致可以查詢mysql資料庫裡的內容並寫入資料到網站配置檔案當中，或者可以讓資料庫遠端下載檔案到網站目錄當中去。

​此referer裡的內容就是要網站遠端下載一個指令碼大馬，下載成功後會直接命名為SINE.php,攻擊者開啟該檔案就可以執行對網站的讀寫上傳下載等操作，甚至會直接入侵伺服器，拿到伺服器的管理員許可權。

ecshop漏洞修復

目前ecshop官方並沒有升級任何版本，也沒有告知漏洞補丁，我們SINE安全公司建議各位網站的運營者對網站配置目錄下的lib_insert.php裡的id以及num的資料轉換成整數型，或者是將網站的user.php改名，停止使用者管理中心的登入，或者找專業的網站安全公司去修復漏洞補丁，做好網站安全檢測與部署。對網站的images目錄寫入進行關閉，取消images的php腳步執行許可權。

​