發(fā)現(xiàn)漏洞拿獎(jiǎng)金,一個(gè)網(wǎng)名為“合肥濱湖虎子”的技術(shù)高手,最近已經(jīng)通過(guò)向360網(wǎng)站安全檢測(cè)“庫(kù)帶計(jì)劃”報(bào)告漏洞,三個(gè)月內(nèi)獲得31450元的現(xiàn)金獎(jiǎng)勵(lì)。據(jù)悉,“庫(kù)帶計(jì)劃”專(zhuān)門(mén)征集開(kāi)源建站程序漏洞,用以幫助軟件公司和開(kāi)發(fā)者及時(shí)推出補(bǔ)丁,加強(qiáng)網(wǎng)站對(duì)黑客攻擊“拖庫(kù)”的防范能力。
根據(jù)360“庫(kù)帶計(jì)劃”最新披露的數(shù)據(jù),該計(jì)劃發(fā)布后一季度內(nèi),共收集到的第三方開(kāi)源建站程序(俗稱(chēng)CMS)0day漏洞816個(gè),高危漏洞占比達(dá)到八成。被提交漏洞最多的建站程序是Discuz!、DedeCMS和PHPWind,漏洞數(shù)量分別是78個(gè)、53個(gè)和48個(gè),它們也是目前國(guó)內(nèi)網(wǎng)站應(yīng)用最廣泛的建站程序,網(wǎng)站用戶量高達(dá)百萬(wàn)級(jí)。360同時(shí)表示,被提交漏洞多的CMS并不意味著不安全,而是體現(xiàn)出市場(chǎng)關(guān)注度和用戶量,其中Discuz!和PHPWind、ECSHOP等都是對(duì)安全很重視并積極修復(fù)漏洞的負(fù)責(zé)仁廠商。
Discuz!等第三方開(kāi)源建站程序以其簡(jiǎn)單、方便、免費(fèi),被大量應(yīng)用于社區(qū)、門(mén)戶、電商、教育、企業(yè)、博客等網(wǎng)站,其系統(tǒng)安全性非常重要,因?yàn)槿绻硞€(gè)擁有大量用戶的建站程序出現(xiàn)漏洞,就意味著所有應(yīng)用此程序的網(wǎng)站都會(huì)被黑客輕易攻破。巨大的利益驅(qū)動(dòng)也讓此類(lèi)大型開(kāi)源CMS成了黑客重點(diǎn)攻擊的目標(biāo),此前多網(wǎng)站曝出“泄密門(mén)”,上億條用戶帳號(hào)密碼在網(wǎng)上公開(kāi),其根源就是網(wǎng)站被黑客利用漏洞入侵“拖庫(kù)”。
為了保護(hù)網(wǎng)站安全,同時(shí)也為了提升360網(wǎng)站衛(wèi)士掃描、防御漏洞的能力,360公司于今年上半年推出“庫(kù)帶計(jì)劃”,以獎(jiǎng)金懸賞技術(shù)高手提交漏洞。此外,漏洞報(bào)告者還可以獲得積分,兌換MacBook Pro、三星Note II N7100、iPhone5等獎(jiǎng)品。截至6月底,已有六位技術(shù)高手獲得萬(wàn)元以上的現(xiàn)金獎(jiǎng)勵(lì),漏洞獎(jiǎng)勵(lì)金額在國(guó)內(nèi)各大漏洞響應(yīng)平臺(tái)中處于領(lǐng)先地位。
數(shù)據(jù)顯示,在360“庫(kù)帶計(jì)劃”上半年收集到的第三方建站程序漏洞中,SQL注入漏洞最多,占比54.7%;其次是XSS漏洞和權(quán)限繞過(guò)漏洞,占比分別為18.4%和8.1%。在漏洞危害級(jí)別統(tǒng)計(jì)中,高危漏洞占比高達(dá)79%。
360網(wǎng)站安全工程師趙武表示,隨著“庫(kù)帶計(jì)劃”的推出,大多數(shù)建站程序都能快速修復(fù)漏洞,及時(shí)推出補(bǔ)丁保護(hù)網(wǎng)站用戶的數(shù)據(jù)安全。網(wǎng)站站長(zhǎng)除了關(guān)注CMS官方安全更新,還可360免費(fèi)的網(wǎng)站安全防護(hù)產(chǎn)品“360網(wǎng)站衛(wèi)士”,可有效防范黑客攻擊,并具備為網(wǎng)站訪問(wèn)加速等實(shí)用功能。