7月3日，澳大利亚黑客Alexander Lazic攻破了电子商务网站的安全系统——Akopia公司的MiniVend，它被发现有两个安全漏洞。当天，这个消息被告知了MiniVend的作者Mike Heins，他在7月5日通过给用户的邮件列表提供了一个补丁，并且说没有漏洞的升级版很快会在产品的网站上发布。

对很多MiniVend的用户来说，有这么一个升级版是很重要的，Heins估计有5000到1万人使用了这个产品，估计在1万个网站上都有这个软件，它被下载了近1百万次。

Lazic是怎么侵入网站的呢？很简单，他认出了网站使用的软件是MiniVend，然后就下载了MiniVend的源代码，这个是可以免费使用的。然后通过源代码找到了安全漏洞。Lazic发现的第一个缺陷在VIEW_PAGE.HTML文件中，这个文件又调用了一个叫READFILE的子程序，这个子程序在文件UTIL.PM中，它有第二个漏洞。

MiniVend的用户也能通过设置MiniVend的模版为只读模式来预防，最简单的方法就是删掉VIEW_PAGE.HTML这个文件。

本栏首页

更多文章