360库带计划首月协助百万级网站修复漏洞【咨询】

发布时间：2020-01-17 17:59:34 阅读：次来源：导轨厂家

5月9日消息，360网站安全平台日前透露，自网站系统漏洞悬赏项目“库带计划”上线以来，首月即收集到264个开源建站系统漏洞，并协助厂商修复了漏洞，涉及Discuz!、ShopEx、ECShop、PHPWind、PHPCMS、DEDECMS等客户量众多的知名建站系统。保守估计，360“库带计划”上线首月就已帮助百万级网站避免了漏洞威胁。

“库带计划”是360网站安全平台推出的国内首个第三方漏洞悬赏项目，以现金奖励方式征集开源建站系统漏洞，用以帮助软件公司和开发者及时推出漏洞补丁，同时360网站卫士也会第一时间将各种0day漏洞加入防护规则，从而加强国内数百万家网站对黑客攻击“拖库”的防范能力。

360网站安全平台提供的数据显示：库带计划首月收集的漏洞中，提交次数排名前五的的漏洞类型为：跨站漏洞(42.19%)、SQL注入漏洞(27.00%)、逻辑漏洞(6.33%)、权限绕过(5.91%)、信息泄露(5.49%)。可以看出，目前最常见的系统漏洞类型为跨站漏洞和SQL注入漏洞，都是对网站重要数据和用户账号存在严重威胁的漏洞。

图：360库带计划首月收集漏洞类型

360网站安全工程师介绍，在首月收集的全部漏洞中，高危漏洞占35%、中危漏洞52.4%、低危漏洞12.6%。其中，影响最大的高危漏洞TOP5分别为：ShopEx SQL注入漏洞、PHPCMSV9 最新SQL注入攻击漏洞、DEDECMS会员中心好友描述SQL注入漏洞、亿邮邮件系统命令执行漏洞、ASPCMS任意代码执行漏洞(getwebshell)。在厂商修复漏洞的同时，漏洞报告者也获得了360“库带计划”首月最高额度奖金。