网站防护能力薄弱已经成为中国网络安全的短板
中新网3月28日电 360公司今日启动漏洞悬赏项目“库带计划”,以现金奖励方式征集开源建站系统漏洞,用以帮助软件公司和开发者及时推出漏洞补丁,加强国内数百万家网站对黑客攻击“拖库”的防范能力。此举同时也有助于提升360网站安全检测平台扫描、防御漏洞的能力。
通过现金奖励方式征集技术高手报告0day漏洞,是国际领先的网络安全防御趋势。以惠普公司旗下ZDI(0day攻击防御计划)为例,明码标价征集漏洞,一方面可以通知相关厂商修复,另一方面也提升了自身安全产品的防护能力。今年3月,微软最新推出的IE浏览器补丁程序修复了9个漏洞,其中6个漏洞由ZDI报告给微软,其余3个漏洞由360等安全公司发现并报告微软。可见,漏洞悬赏征集项目已经成为促进漏洞修复的重要动力。
360此次推出“库带计划”,是国内首个第三方漏洞付费收录平台,从而使中国网络安全行业与国际规则接轨。360“库带计划”目前主要针对开源建站系统漏洞进行征集、报告处理和安全维护,奖励金额从100元到10000元不等,按照漏洞危害等级确定额度。
2011年底,国内多家知名网站遭黑客入侵窃取密码数据库,超过2亿条帐号密码在网上公开流传。究其原因,网站存在漏洞是黑客入侵的主要途径。据360网站安全检测平台调查,国内有超过半数网站使用各种流行的开源建站系统。一旦建站系统出现没有补丁的0day漏洞,往往会有数十万甚至百万级网站成为任由黑客宰割的“肉鸡”。而在过去一年,360网站安全检测平台收录的各种开源建站系统高危0day漏洞达到102个。
360总裁齐向东表示,防范黑客利用0day漏洞攻击网站,最有效的方法尽快发现漏洞、并秘密通知厂商进行修复。360“库带计划”收到漏洞后,会第一时间将漏洞信息通报相关厂商、开发者和国家漏洞库,并将漏洞扫描和防护规则加入360网站安全产品中,保护网站客户不受漏洞影响。
齐向东强调,360“库带计划”重奖收录的漏洞,都会免费分享给国内知名的网络安全公司,帮助其他安全产品的网站用户提升漏洞防御能力,实现全行业共赢。