清风设计团队提供ShopEx|ECStore|易开店|分销王|Ecshop|Dedecms二次开发|模板订制|网站运维等技术服务

一、安装说明：

1、使用FTP把文件上传到网站对应目录下并覆盖文件（注意：覆盖之前请先备份原文件，以防出错！）；

2、后台/关于/清空缓存；

二、修复的漏洞说明：

跨站脚本1
中危 XSS 跨站脚本漏洞 漏洞列表
中危 http://www.XXXXXX.com/passport-verify.html
请求POST
参数ref_url passwd=&ref_url='><script>confirm(0261)</script>&isfastbuy=&loginverifycode=&forward=&login=

----★★友情提醒：ShopEx系统安全使用须知★★----

ShopEx 系统是一款用户数量庞大的网店系统，易用性，功能强大等特点深受用户喜爱。同时也可能会被很多黑客研究利用(这其实是每个知名系统都会面临的问题，不单单 是ShopEx系统)。为最大限度降低被黑客攻击的风险，本站特别总结以下几点安全防护知识，请广大网商注意：

1、将系统中的install目录删除，留着也是摆看。里面有涉及到检测系统环境的程序，很容易被利用。

2、后台的保护。首先是账号密码的保护，其次是后台管理目录的修改。务必把默认的后台目录改掉，改成其它不容易被猜到的目录。ShopEx默认的后台目录是 shopadmin，您可以改为任意名称如aaaa（当然越复杂的越好），这样即使别人知道后台账号密码也不知道后台在哪登录。

3、去除系统上的页面版权（需要修改一些程序，如有需要，请联系我们），越彻底越好，从代码层面去除它。很多时候，某些人获知某个系统有漏洞的时候，总是会通过搜索相应的系统名称来得到使用这个系统的那些网站，然后实施攻击；

4、 PHP环境安全配置，如在PHP.ini文件中关闭页面错误信息显示display_errors=Off，或直接在ShopEx的config.php 文件中配置ini_set("display_errors","Off");，可以防止某些程序在报错的时候无意中泄露网站物理路径，被黑客利用。

5、MySql数据库账号安全配置，不要图一时省事给网站直接使用root账号而给的最高权限，给网站单独分配普通账号，并且不允许远程连接，仅给予其最基本的数据库操作权限，如增删改查。

6、有些店家为了方便管理数据库，直接在网站目录下放置了如phpMyadmin等第三方数据库管理程序，建议对这些系统也做好安全处理，最直接的方法就是将目录名称改掉，不使用默认名称，这些黑客也无法猜到。

7、服务器日常巡检维护。经常上服务器各目录查看查看，以便及时可以发现一些可疑文件，如通过文件或文件夹的最近修改时间，可以分析出一些踪迹。

8、关注官方论坛（http://bbs.shpoex.cn），随时了解版本升级动态，及时更新安全补丁。