发现漏洞拿奖金,一个网名为“合肥滨湖虎子”的技术高手,最近已经通过向360网站安全检测“库带计划”报告漏洞,三个月内获得31450元的现金奖励。据悉,“库带计划”专门征集开源建站程序漏洞,用以帮助软件公司和开发者及时推出补丁,加强网站对黑客攻击“拖库”的防范能力。
根据360“库带计划”最新披露的数据,该计划发布后一季度内,共收集到的第三方开源建站程序(俗称CMS)0day漏洞816个,高危漏洞占比达到八成。被提交漏洞最多的建站程序是Discuz!、DedeCMS和PHPWind,漏洞数量分别是78个、53个和48个,它们也是目前国内网站应用最广泛的建站程序,网站用户量高达百万级。360同时表示,被提交漏洞多的CMS并不意味着不安全,而是体现出市场关注度和用户量,其中Discuz!和PHPWind、ECSHOP等都是对安全很重视并积极修复漏洞的负责仁厂商。
Discuz!等第三方开源建站程序以其简单、方便、免费,被大量应用于社区、门户、电商、教育、企业、博客等网站,其系统安全性非常重要,因为如果某个拥有大量用户的建站程序出现漏洞,就意味着所有应用此程序的网站都会被黑客轻易攻破。巨大的利益驱动也让此类大型开源CMS成了黑客重点攻击的目标,此前多网站曝出“泄密门”,上亿条用户帐号密码在网上公开,其根源就是网站被黑客利用漏洞入侵“拖库”。
为了保护网站安全,同时也为了提升360网站卫士扫描、防御漏洞的能力,360公司于今年上半年推出“库带计划”,以奖金悬赏技术高手提交漏洞。此外,漏洞报告者还可以获得积分,兑换MacBook Pro、三星Note II N7100、iPhone5等奖品。截至6月底,已有六位技术高手获得万元以上的现金奖励,漏洞奖励金额在国内各大漏洞响应平台中处于领先地位。
数据显示,在360“库带计划”上半年收集到的第三方建站程序漏洞中,SQL注入漏洞最多,占比54.7%;其次是XSS漏洞和权限绕过漏洞,占比分别为18.4%和8.1%。在漏洞危害级别统计中,高危漏洞占比高达79%。
360网站安全工程师赵武表示,随着“库带计划”的推出,大多数建站程序都能快速修复漏洞,及时推出补丁保护网站用户的数据安全。网站站长除了关注CMS官方安全更新,还可360免费的网站安全防护产品“360网站卫士”,可有效防范黑客攻击,并具备为网站访问加速等实用功能。
图:360“库带计划”征集到的建站程序漏洞数量