360“库带计划”这一年:挖漏洞促进互联网安全

时间:2014-05-06 16:50

360“库带计划”这一年:挖漏洞促进互联网安全

                                                                                                                                        来源:中国网

2014年3月28日,是360网站安全检测推出“库带及计划”一周年的日子。360网站安全总监、“库带计划”负责人赵武发表了一封公开信,详细讲述了“库带计划”推出一年来的收获,总结了漏洞挖掘与修复补丁、白帽子与厂商等一些问题,并对当前黑客黑产的进行了盘点。以下是赵武公开信的全文。

————————

不知不觉,360“库带计划”一周年了。回望2013年3月28日,我们正式推出了360“库带计划”:loudong.360.cn。虽然当时是一张白纸,但我们的目标是提高中国互联网的安全性。

“库带计划”这一年

这一年里,“库带计划”收到了127个“白帽子”,发来的1596有效漏洞,帮助178个厂商修复了安全漏洞,付出了801750元奖励费用,让数百万网站免受安全危害。如此成绩,算不了什么,值得欣慰的是,有一群年轻的白帽在默默支持着360“库带计划”健康的成长,并且完成着一个巨大的使命,推动着影响中国数以百万、千万计的建站程序安全性的”事业”不断前行而努力。

图:360“库带计划”

还记得曾经为买电脑而不断提交漏洞的“小戮”吗?还记得在万元悬赏活动中为ECShop提出SQL注入高危漏洞的“温馨提示”吗?还记得年度大奖得主(MVP)“datuz”?还记得我们的漏洞之王“合肥滨湖虎子”吗?全年拿下了130000之多的现金奖励。

在去年年终库带计划举办的MVP大选中,库带计划的datuz、合肥滨湖虎子、My5t3ry的分别以一票之差排名前三,并选择了热门的比特币。殊不知,datuz最终将平台颁发的10000元比特币进行了三人平分。作为白帽中的好基友,大家因库带相识相知,情谊自在其中。

新的一年,“库带计划”需要做的还很多。希望继续与“白帽子”在一起,让更多的“白帽子”加入进来,为中国互联网安全而努力;让“库带计划”与中国“白帽子”,一起见证中国安全的力量。同时,我们希望与广大厂商进一步合作,一起打造快速有效的漏洞处理流程。

漏洞有什么危害

“库带计划”天天给各个软件厂商爆漏洞,到底这些漏洞有什么危害?下面是“库带计划”总结的几种漏洞危害。

1、直接盗取网站数据:有些黑客骗取到管理员权限,进而控制网站或进行“拖库”。黑客窃取了这些信息后,会转手卖给其他公司或个人。

2、把网站做成“肉鸡”:有些黑客在网站中植入后门后,会放置网站控制类木马或者DDoS脚本木马。不但实施控制或数据窃取(如拖库等),还能够利用这个网站的服务器对其他网站发动流量攻击,如DDoS攻击等。

3、在正常网站中制作钓鱼网站:有些黑客入侵网站之后,会直接在网站内创建子目录,并制作钓鱼网站。对于制作钓鱼网站的黑客来说,把钓鱼网页放在正规网站目录下,还可以省去租用服务器和购买域名的成本。

4、在正常网站内植入黑词黑链推广非法网站:通过在正常网站,特别是政府、高校等在搜索引擎中权重较高的网站中嵌入黑词黑链,可以大大增加相关网站在搜索引擎中的排名和展现几率。这些黑词黑链大多指向钓鱼网站,并且正常浏览网页的用户并看不到这些内容。

5、直接出售漏洞:圈子里把没公布的漏洞叫0DAY漏洞,是指已经被发现、而官方还没发现、没有相关补丁的漏洞。黑客们通过网上报价出售,一个操作系统或数据库的远程溢出源代码可以卖到几万元,甚至更高。

运营中的一些反思

一年来,“库带计划”有了一些可喜的成果,也看到一些问题,在这里与系统厂商们商榷。

1、部分厂商没有统一的漏洞补丁推送机制,如果能向Windows补丁那样,简单快速的送达各个网站站长就好了。

2、部分网站因定制而影响漏洞修复:某些开发者会在建站系统基础上,进行很多的定制性开发,而这些定制性开发并不一定能够与升级补丁之间相互匹配,这种情况也就制约了漏洞的及时修复。

3、部分厂商发布漏洞补丁存在“遮掩”:部分建站系统供应商推出漏洞补丁的速度本身就很慢,而且推出补丁后担心影响企业商誉,对发布补丁的相关信息总是遮遮掩掩。甚至,部分厂商只向商业用户发布漏洞警示,使大量免费使用建站系统的用户无法在第一时间打补丁。

4、除此之外,建站程序厂商对安全补丁的修复方案存在不完善、多次修补的问题,这多是“白帽子”与厂商沟通配合不足造成的。

一点小小的想法

记得PHPCMS第一次被爆文件上传导致GETSHELL漏洞时,“库带计划”与厂商共同研究漏洞的修复方案。郁闷的是,在厂商发布补丁后,再一次被“库带计划”的小伙伴报告了上传绕过并GETSHELL。在无比佩服小伙伴之余,再一次与厂商积极研究漏洞的修复方案,因为“库带计划”与厂商一样,替国内数万网站用户的安全着急。

“绕过”、“再次绕过”、“继续绕过”、“绕过之前的绕过”……?在“库带计划”上线一周年之际,为了给厂商提供更加有效的修复方案,库带计划携手ShopEx/ECShop、PHPCMS、ESPCMS、CmsEasy、KesionCMS、Destoon、PHPDisk、PHPB2B等数十家厂商共同举行“强化补丁提升通用程序安全性”活动(webscan.360.cn/group/no-member/tid/117),一起为系统漏洞设计安全补丁。凡是参与的“白帽子”除了得到针对优秀补丁方案的奖励,还会对拔得头筹的团队获得额外的10000元现金奖励。

最后是一则硬广告

最后插播一则广告:如果您认为网站有问题,请用我们的360网站安全检测(webscan.360.cn),它能够及时发现您网站的各类漏洞和后门隐患;如果您希望得到免费的安全防护,那们就选择360网站卫士(wangzhan.360.cn),它能够拦截各类黑客针对漏洞攻击,并且可以给网站加速。

网站安全,360提供一条龙服务。