发现漏洞拿奖金,一个网名为“合肥滨湖虎子”的技术高手,最近已经通过向360网站安全检测“库带计划”报告漏洞,三个月内获得31450元的现金奖励。据悉,“库带计划”专门征集开源建站程序漏洞,用以帮助软件公司和开发者及时推出补丁,加强网站对黑客攻击“拖库”的防范能力。
根据360“库带计划”最新披露的数据,该计划发布后一季度内,共收集到的第三方开源建站程序(俗称CMS)0day漏洞816个,高危漏洞占比达到八成。被提交漏洞最多的建站程序是Discuz!、DedeCMS和PHPWind,漏洞数量分别是78个、53个和48个,它们也是目前国内网站应用最广泛的建站程序,网站用户量高达百万级。360同时表示,被提交漏洞多的CMS并不意味着不安全,而是体现出市场关注度和用户量,其中Discuz!和PHPWind、ECSHOP等都是对安全很重视并积极修复漏洞的负责仁厂商。
Discuz!等第三方开源建站程序以其简单、方便、免费,被大量应用于社区、门户、电商、教育、企业、博客等网站,其系统安全性非常重要,因为如果某个拥有大量用户的建站程序出现漏洞,就意味着所有应用此程序的网站都会被黑客轻易攻破。巨大的利益驱动也让此类大型开源CMS成了黑客重点攻击的目标,此前多网站曝出“泄密门”,上亿条用户帐号密码在网上公开,其根源就是网站被黑客利用漏洞入侵“拖库”。
为了保护网站安全,同时也为了提升360网站卫士扫描、防御漏洞的能力,360公司于今年上半年推出“库带计划”,以奖金悬赏技术高手提交漏洞。此外,漏洞报告者还可以获得积分,兑换MacBook Pro、三星Note II N7100、iPhone5等奖品。截至6月底,已有六位技术高手获得万元以上的现金奖励,漏洞奖励金额在国内各大漏洞响应平台中处于领先地位。
数据显示,在360“库带计划”上半年收集到的第三方建站程序漏洞中,SQL注入漏洞最多,占比54.7%;其次是XSS漏洞和权限绕过漏洞,占比分别为18.4%和8.1%。在漏洞危害级别统计中,高危漏洞占比高达79%。
360网站安全工程师赵武表示,随着“库带计划”的推出,大多数建站程序都能快速修复漏洞,及时推出补丁保护网站用户的数据安全。网站站长除了关注CMS官方安全更新,还可360免费的网站安全防护产品“360网站卫士”,可有效防范黑客攻击,并具备为网站访问加速等实用功能。
图:360“库带计划”征集到的建站程序漏洞数量
特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。
