国内团购常用的“最土团购程序”部分版本曝出SQL注入漏洞，可能导致大批团购网站被黑客拖库，甚至泄露团购用户的消费凭据。360安全人士称，利用该漏洞，黑客可篡改团购活动、商品价格、订单、退款、发货记录等重要数据，并拖库窃取团购用户的注册邮箱和密码。

2月24日消息，安全厂商近日发布漏洞修复报告称，国内团购常用的“最土团购程序”部分版本曝出SQL注入漏洞，可能导致大批团购网站被黑客拖库，甚至泄露团购用户的消费凭据。

据悉，“最土团购程序”是免费开源的团购系统平台，覆盖国内千余家团购网站，包括不少知名大型团购网站。去年该程序的开发商“最土网”被美团网收购，目前仍为国内中小型团购网站提供后台程序支持。

近日，360网站安全检测平台发布漏洞修复报告指出，目前使用“最土团购程序”的网站中，有66%的团购网站存在该SQL注入漏洞，可能导致大批团购网站被黑客拖库，甚至泄露团购用户的消费凭据。报告还称，网上现已出现针对“最土团购程序”漏洞的黑客攻击，甚至“最土”官网中的Demo（演示）站点也未能幸免。

安全厂商提供的“最土团购”SQL漏洞代码（TechWeb配图）

360安全人士分析认为，“这是一次比较典型、也是非常经典的数组key变量污染漏洞。‘最土团购’建站程序的代码中，由于函数的过滤不严格，导致了黑客可以通过提交恶意代码，控制程序流程，来绕过登录时的判断，直接进入网站后台。”

上述安全人士称，利用“最土团购程序”漏洞，黑客可篡改团购活动、商品价格、订单、退款、发货记录等重要数据，并拖库窃取团购用户的注册邮箱和密码。

截至目前，最土网尚未对此作出回应，美团网相关人员则表示正在了解情况。

　　推荐阅读

　　360团购周年庆大狂欢 55万网友争抢千份“霸王餐”

美食狂欢节上线以来，人气火爆，金钱豹、全聚德、黄记煌等50家精品美食名店倾力加盟，日均有近50万网友争相体验美食狂欢盛宴。据统计，已经有超过55万网友参与疯狂大转盘抽奖免费霸王餐 【IT商业新闻网讯】（记者 子>>>详细阅读

本文标题：最土团购程序被指存安全漏洞 窃取用户信息

地址：http://www.lgo100.com/a/guandian/yejie/20111230/165693.html

 1/2    1  2 下一页