360漏洞三连爆，36万网站面临裸奔危险

11月28日晚，有白帽子在著名的乌云漏洞平台披露，包括360网站宝在内的一系列云WAF网站安全产品存在“设计缺陷/逻辑错误”，有可能被绕过，大量使用此类安全服务的网站将失去WAF提供的保护，直接暴露在黑客面前。这已经是360继密码找回与云盘权限漏洞之后，被连续爆出的第三个漏洞。此次因牵扯到多家厂商和大量网站，此漏洞已被紧急上报给国家互联网应急中心。  

 图：360再爆漏洞，36万网站面临裸奔危险

据了解，360网站宝已更名为“360网站卫士”，是360旗下为中小企业网站，中小电商网站，政府科研机构网站，培训教育类网站，量身打造的安全防护平台。主要功能有，防DDOS攻击，Web应用防火墙、统计报表查询、页面压缩和永久在线等服务。360网站宣称已经有超过36万个网站正在使用360网站安全卫士，其中不乏糗事百科、北京晨报、A5站长网、58动漫网、八目鱼、中国高校之窗，新疆-中亚在线等知名网站。   漏洞被披露后，引发大量站长的担忧，有站长称：“之所以使用360网站卫士，就是因为相信360能提供值得信赖的网站安全防护，但现在看起来，之前360承诺的所谓固若金汤只是个笑话罢了。”   而此次360网站宝漏洞，已经是360连续三天被曝的第三个漏洞。在此之前两天，360的密码找回机制和其云盘服务也已分别中招。至此，360旗下的包括个人安全、网站安全和云存储在内的多项业务无一幸免，整体性的设计不足让360一直以来奉若明珠的“安全”看上去如纸糊的一样不堪一击。简要分析了过往的漏洞报告记录后，记者更注意到：在乌云网对涉及360的漏洞报告的统计中，被归为“设计缺陷”的漏洞占到了高达28%的比例，居所有漏洞的第一位。相比之下，同类的漏洞，则仅占百度所有漏洞的13%。这样的反差不禁令人有理由质疑：360是缺乏足够专业的技术实力，还是缺少对用户的足够责任心？ 安全人员认为，因为此次牵涉到大量提供云WAF服务的厂商以及使用此类服务的网站，在此漏洞得到有效修复以前，这一问题将导致360网站宝无法有效地为网站提供主动防御服务，客户网站将失去一道防护墙，如不及时采取措施，将面临用户资料盗用、钓鱼网站盗链、站点破坏等一系列潜在威胁，建议网站宝用户尽快采取相应的安全对策避免损失。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/