360“库带计划”这一年：挖漏洞促进互联网安全

　　2014年3月28日，是 360网站安全检测推出“库带及计划”一周年的日子。“库带计划”运营负责人dragxn发表了一封公开信，详细讲述了“库带计划”推出一年来的收获，总结了漏洞挖掘与修复补丁、白帽子与厂商等一些问题，并对当前黑客黑产的进行了盘点。以下是dragxn公开信的全文。

　　————————

　　不知不觉，360“库带计划”一周年了。回望2013年3月28日，我们正式推出了360“库带计划”：loudong.360.cn。虽然当时是一张白纸，但我们的目标是提高中国互联网的安全性。

　　“库带计划”这一年

　　这一年里，“库带计划”收到了127个“白帽子”，发来的1596有效漏洞，帮助178个厂商修复了安全漏洞，付出了801750元奖励费用，让数百万网站免受安全危害。如此成绩，算不了什么，值得欣慰的是，有一群年轻的白帽在默默支持着360“库带计划”健康的成长，并且完成着一个巨大的使命，推动着影响中国数以百万、千万计的建站程序安全性的”事业”不断前行而努力。

图：360“库带计划”

　　还记得曾经为买电脑而不断提交漏洞的“小戮”吗?还记得在万元悬赏活动中为ECShop提出SQL注入高危漏洞的“温馨提示”吗?还记得年度大奖得主(MVP)“datuz”?还记得我们的漏洞之王“合肥滨湖虎子”吗?全年拿下了130000之多的现金奖励。

　　在去年年终库带计划举办的MVP大选中，库带计划的datuz、合肥滨湖虎子、My5t3ry的分别以一票之差排名前三，并选择了热门的比特币。殊不知，datuz最终将平台颁发的10000元比特币进行了三人平分。作为白帽中的好基友，大家因库带相识相知，情谊自在其中。

　　新的一年，“库带计划”需要做的还很多。希望继续与“白帽子”在一起，让更多的“白帽子”加入进来，为中国互联网安全而努力;让“库带计划”与中国“白帽子”，一起见证中国安全的力量。同时，我们希望与广大厂商进一步合作，一起打造快速有效的漏洞处理流程。

　　漏洞有什么危害

　　“库带计划”天天给各个软件厂商爆漏洞，到底这些漏洞有什么危害?下面是“库带计划”总结的几种漏洞危害。

　　1、直接盗取网站数据：有些黑客骗取到管理员权限，进而控制网站或进行“拖库”。黑客窃取了这些信息后，会转手卖给其他公司或个人。

　　2、把网站做成“肉鸡”：有些黑客在网站中植入后门后，会放置网站控制类木马或者DDoS脚本木马。不但实施控制或数据窃取(如拖库等)，还能够利用这个网站的服务器对其他网站发动流量攻击，如DDoS攻击等。

　　3、在正常网站中制作钓鱼网站：有些黑客入侵网站之后，会直接在网站内创建子目录，并制作钓鱼网站。对于制作钓鱼网站的黑客来说，把钓鱼网页放在正规网站目录下，还可以省去租用服务器和购买域名的成本。

　　4、在正常网站内植入黑词黑链推广非法网站：通过在正常网站，特别是政府、高校等在搜索引擎中权重较高的网站中嵌入黑词黑链，可以大大增加相关网站在搜索引擎中的排名和展现几率。这些黑词黑链大多指向钓鱼网站，并且正常浏览网页的用户并看不到这些内容。

　　5、直接出售漏洞：圈子里把没公布的漏洞叫0DAY漏洞，是指已经被发现、而官方还没发现、没有相关补丁的漏洞。黑客们通过网上报价出售，一个操作系统或数据库的远程溢出源代码可以卖到几万元，甚至更高。

　　运营中的一些反思

　　一年来，“库带计划”有了一些可喜的成果，也看到一些问题，在这里与系统厂商们商榷。

　　1、部分厂商没有统一的漏洞补丁推送机制，如果能向Windows补丁那样，简单快速的送达各个网站站长就好了。

　　2、部分网站因定制而影响漏洞修复：某些开发者会在建站系统基础上，进行很多的定制性开发，而这些定制性开发并不一定能够与升级补丁之间相互匹配，这种情况也就制约了漏洞的及时修复。

　　3、部分厂商发布漏洞补丁存在“遮掩”：部分建站系统供应商推出漏洞补丁的速度本身就很慢，而且推出补丁后担心影响企业商誉，对发布补丁的相关信息总是遮遮掩掩。甚至，部分厂商只向商业用户发布漏洞警示，使大量免费使用建站系统的用户无法在第一时间打补丁。

　　4、除此之外，建站程序厂商对安全补丁的修复方案存在不完善、多次修补的问题，这多是“白帽子”与厂商沟通配合不足造成的。

　　一点小小的想法

　　记得PHPCMS第一次被爆文件上传导致GETSHELL漏洞时，“库带计划”与厂商共同研究漏洞的修复方案。郁闷的是，在厂商发布补丁后，再一次被“库带计划”的小伙伴报告了上传绕过并GETSHELL。在无比佩服小伙伴之余，再一次与厂商积极研究漏洞的修复方案，因为“库带计划”与厂商一样，替国内数万网站用户的安全着急。

　　“绕过”、“再次绕过”、“继续绕过”、“绕过之前的绕过”……?在“库带计划”上线一周年之际，为了给厂商提供更加有效的修复方案，库带计划携手ShopEx/ECShop、PHPCMS、ESPCMS、CmsEasy、KesionCMS、Destoon、PHPDisk、PHPB2B等数十家厂商共同举行“强化补丁提升通用程序安全性”活动(webscan.360.cn/group/no-member/tid/117)，一起为系统漏洞设计安全补丁。凡是参与的“白帽子”除了得到针对优秀补丁方案的奖励，还会对拔得头筹的团队获得额外的10000元现金奖励。

　　最后是一则硬广告

　　最后插播一则广告：如果您认为网站有问题，请用我们的360网站安全检测(webscan.360.cn)，它能够及时发现您网站的各类漏洞和后门隐患;如果您希望得到免费的安全防护，那们就选择360网站卫士(wangzhan.360.cn)，它能够拦截各类黑客针对漏洞攻击，并且可以给网站加速。

　　网站安全，360提供一条龙服务。