發現漏洞拿獎金,一個網名為“合肥濱湖虎子”的技術高手,最近已經通過向360網站安全檢測“庫帶計劃”報告漏洞,三個月內獲得31450元的現金獎勵。據悉,“庫帶計劃”專門征集開源建站程序漏洞,用以幫助軟件公司和開發者及時推出補丁,加強網站對黑客攻擊“拖庫”的防范能力。
根據360“庫帶計劃”最新披露的數據,該計劃發布后一季度內,共收集到的第三方開源建站程序(俗稱CMS)0day漏洞816個,高危漏洞占比達到八成。被提交漏洞最多的建站程序是Discuz!、DedeCMS和PHPWind,漏洞數量分別是78個、53個和48個,它們也是目前國內網站應用最廣泛的建站程序,網站用戶量高達百萬級。360同時表示,被提交漏洞多的CMS并不意味著不安全,而是體現出市場關注度和用戶量,其中Discuz!和PHPWind、ECSHOP等都是對安全很重視并積極修復漏洞的負責仁廠商。
Discuz!等第三方開源建站程序以其簡單、方便、免費,被大量應用于社區、門戶、電商、教育、企業、博客等網站,其系統安全性非常重要,因為如果某個擁有大量用戶的建站程序出現漏洞,就意味著所有應用此程序的網站都會被黑客輕易攻破。巨大的利益驅動也讓此類大型開源CMS成了黑客重點攻擊的目標,此前多網站曝出“泄密門”,上億條用戶帳號密碼在網上公開,其根源就是網站被黑客利用漏洞入侵“拖庫”。
為了保護網站安全,同時也為了提升360網站衛士掃描、防御漏洞的能力,360公司于今年上半年推出“庫帶計劃”,以獎金懸賞技術高手提交漏洞。此外,漏洞報告者還可以獲得積分,兌換MacBook Pro、三星Note II N7100、iPhone5等獎品。截至6月底,已有六位技術高手獲得萬元以上的現金獎勵,漏洞獎勵金額在國內各大漏洞響應平臺中處于領先地位。
數據顯示,在360“庫帶計劃”上半年收集到的第三方建站程序漏洞中,SQL注入漏洞最多,占比54.7%;其次是XSS漏洞和權限繞過漏洞,占比分別為18.4%和8.1%。在漏洞危害級別統計中,高危漏洞占比高達79%。
360網站安全工程師趙武表示,隨著“庫帶計劃”的推出,大多數建站程序都能快速修復漏洞,及時推出補丁保護網站用戶的數據安全。網站站長除了關注CMS官方安全更新,還可360免費的網站安全防護產品“360網站衛士”,可有效防范黑客攻擊,并具備為網站訪問加速等實用功能。