`

360以安全之名做搜索,可信,还是欺世盗名?

阅读更多

昨天有位朋友推荐对我的网站进行 360 安全检测。没多想就进行了一下检测,检测结果出来了吓了一跳,我的网站安全评分是 44 分,安全状况是“高危”,如下是检测的截图:


360 作为一个拥有几亿用户的公司,他的检测结果按理说应该是靠谱的吧? 作为普通人我们第一印象也许会这样想。但是事实如何呢?

  
我们来逐个分析一下 360 检测出来的漏洞,看是否靠谱:

第一个漏洞,是所谓的高危漏洞,其详细描述如下:

漏洞名称是:Struts2 命令执行漏洞,危害是:黑客可以利用该漏洞直接在网站执行任意命令,从而有可能直接控制网站服务器,盗取网站数据,影响网站的正常运营。

  
这个漏洞是 java 的 web 开发框架 struts2 的安全漏洞,而我的网站是用 Python+webpy 开发的,根本就不是一回事儿,360 简单的在 url 上查询到带有 Index.action 居然就认为这是一个网站的高危漏洞,这有什么技术含量,有一点点科学态度吗?

其检测的其余两个警告级别的漏洞和轻微级别的漏洞,和上面的高危漏洞如出一辙,请看下面 360 检测页面的截图:

  
第一个警告漏洞页面异常导致本地路径泄漏,意思是 url: http://outofmemory.cn/code-snippet/1987/itext-daochu-word-document-changyong-method-summary 会泄露本地路径,而这个 url 是一个动态的重写 url,和本地路径半毛钱关系都没有。

 

第二个警告漏洞:发现 install.php 文件 是一个 php 才有的漏洞,而如上所说我的网站是用 python+webpy 开发的,install.php 在网站上根本不存在,360 简单的从 url 上是否包含 install.php 就认为这是一个安全漏洞了。

  
最后一个轻微漏洞,和第二个警告漏洞一样伟大的安全公司 360 也是仅从 url 上是否包含某些字符串,来判断是否是漏洞。

 

这就是 360,以安全的名义做搜索的 360 的“网站漏洞安全检测”程序检测出来的结果,而且该结果还会通过它的搜索页面 http://www.so.com/s?ie=utf-8&src=360sou_home&q=site%3Aoutofmemory.cn&_re=0显示给公众!

  
如此不科学的检测,如此轻率的安全检测结果,世间少有呀!

360 以安全的名义做搜索,你信吗?你还敢信吗?

48
4
分享到:
评论
52 楼 liuyfly 2013-05-04  
曾经用了很久的360,不过也已经告别它很久了。
51 楼 yukaizhao 2013-02-06  
white_crucifix 写道
archy123 写道
dsjt 写道
利用URL推断网站使用技术,然后提示软件漏洞,也无可厚非啊。
难道要他利用这些漏洞攻击你一下来证明?


当然你吐槽360的其他行为,就与此无关了

利用URL推断网站技术是真是扯淡行为。


利用URL推断网站技术本质上的确是扯淡行为。不过我想了想,这里有值得玩味的地方。如果360是按照统计学的逻辑出发来设计这个产品的呢?

如果世界上80%的含有.action后缀的都是java web,是我我也敢根据action上直接说你用的struts。就像做cache产品,一定的miss rate还是可以接受的。

上面说的是点,从面上来说,360可能想要尽可能以大多数网站习惯,大多数编码习惯,大多数命名习惯来做判断。我想,这个产品360所欠缺的地方,是360这样的国产“屌丝”公司没有像google一样的科学底蕴。如果是google,必然会将统计学做的更精准,数学模型建的更好,人家是有“科学家”的。

PS一个小插曲: 突然想到上面那些原因。是因为想到身边很多写脚本语言的朋友,写perl的,写python的,都经常吐槽java,也不太喜欢java。所以看到博主用python写网站也用strutser喜欢的action后缀,有所联想。


那个后缀是用户可控制的,是为了SEO,根据用户输入生成的字符串,action不是我想加的哦。

btw,java和python都很优秀,我都在用,各有千秋。
50 楼 leero 2013-02-04  
一个做垃圾软件做流氓软件起家的公司,你想它能好么?

360就一堆臭狗屎


49 楼 Tyrion 2013-02-04  
有做安全的朋友吗?分析URL字符规则也能用作安全检测?
48 楼 yukaizhao 2013-02-04  
zsxxsz 写道
yukaizhao 写道
zsxxsz 写道
玉开,没想到在这儿还能遇到你,呵呵。文章很受欢迎呀


兄台是哪位?

zhengshuxin,可记得否?


和讯的老同事,当然记得。 
47 楼 zsxxsz 2013-02-03  
yukaizhao 写道
zsxxsz 写道
玉开,没想到在这儿还能遇到你,呵呵。文章很受欢迎呀


兄台是哪位?

zhengshuxin,可记得否?
46 楼 white_crucifix 2013-02-03  
archy123 写道
dsjt 写道
利用URL推断网站使用技术,然后提示软件漏洞,也无可厚非啊。
难道要他利用这些漏洞攻击你一下来证明?


当然你吐槽360的其他行为,就与此无关了

利用URL推断网站技术是真是扯淡行为。


利用URL推断网站技术本质上的确是扯淡行为。不过我想了想,这里有值得玩味的地方。如果360是按照统计学的逻辑出发来设计这个产品的呢?

如果世界上80%的含有.action后缀的都是java web,是我我也敢根据action上直接说你用的struts。就像做cache产品,一定的miss rate还是可以接受的。

上面说的是点,从面上来说,360可能想要尽可能以大多数网站习惯,大多数编码习惯,大多数命名习惯来做判断。我想,这个产品360所欠缺的地方,是360这样的国产“屌丝”公司没有像google一样的科学底蕴。如果是google,必然会将统计学做的更精准,数学模型建的更好,人家是有“科学家”的。

PS一个小插曲: 突然想到上面那些原因。是因为想到身边很多写脚本语言的朋友,写perl的,写python的,都经常吐槽java,也不太喜欢java。所以看到博主用python写网站也用strutser喜欢的action后缀,有所联想。
45 楼 white_crucifix 2013-02-03  
yukaizhao 写道
也许我们该反思一下,为什么360技术不算太好,但是用户量那么大,为什么我们自认为有技术,可是产品没多少用户,或者说没有他那么大的用户量。

360靠的就是忽悠吗? 还是有其他我们都不了解的东西,在帮助它成功。



博主这句话说的是对的。
虽然360做得差的地方多的都不想吐槽了。但是作为程序员,千万不要觉得360的成功是靠忽悠80%不懂技术的用户。如果没有360存在,80%非专业用户的电脑环境将比现在更糟。且,无替代品。

商业活动中,技术永远是给市场打助攻。
44 楼 yukaizhao 2013-02-02  
zsxxsz 写道
玉开,没想到在这儿还能遇到你,呵呵。文章很受欢迎呀


兄台是哪位?
43 楼 zsxxsz 2013-02-02  
玉开,没想到在这儿还能遇到你,呵呵。文章很受欢迎呀
42 楼 yzxqml 2013-02-01  


这个是我们几个人用SSH2自己搞的一个小OA。。。神马安全都没考虑过,估计注入都能注进去。。。。360都给100分哦亲~~~ 地址栏直接访问Action都能500的。     
41 楼 flashing 2013-02-01  
archy123 写道
你真以为360有那技术实力,你就太认真了。
360本身技术实力一般般。只不过靠中国80%不懂电脑的人的支持才有今天!

re,尤其靠恐吓用户!
40 楼 zhouxingfu520 2013-02-01  
不懂电脑的人用360的多  一箩筐啊,桌面、卫士、杀毒、浏览器  整个电脑都是绿的。
39 楼 xiaotao.2010 2013-02-01  
就靠输入一个URL 就能检测安全性的功能,看着笑笑就行了,没必要多较劲!
38 楼 netkiller.github.com 2013-02-01  
流氓企业,流氓软件,流氓管理层。
37 楼 xiezuowanga 2013-02-01  
360就用的那么爽吗?
36 楼 bright_cailiang 2013-02-01  
额,我的电脑还是神机咧。
35 楼 flyfan 2013-02-01  
没用360任何东西,鲁大师归为360后,也不再用了
34 楼 mathgl 2013-02-01  
360也敢信?
33 楼 archy123 2013-02-01  
dsjt 写道
利用URL推断网站使用技术,然后提示软件漏洞,也无可厚非啊。
难道要他利用这些漏洞攻击你一下来证明?


当然你吐槽360的其他行为,就与此无关了

利用URL推断网站技术是真是扯淡行为。

相关推荐

    (2021-2022)年专题资料欺世盗名—转基因食品威胁健康v21510我们都对烟草、石.doc

    教育精品资料

    kx3551驱动+11个插件

    官方kX3551本身是测试版,欺世盗名之徒利用测试版收费,这是对所有的kX驱动爱好者一种侮辱,同时也违背了开发小组的免费共享宗旨!早在2011年6月12日,Win7+kX3551插件集,国外 莱克斯先生 编写者就放出免费共享了。...

    新概念模拟电路

    历时四年,在继好评如潮的《你好,放大器》之后,有“西北模电王”之称的著名教授西安交通大学电气工程学院杨建国老师携模电系列丛书《新概念模拟电路》再度归来!全书共五册,近50万字,一样的风趣幽默,一样的...

    七年级语文下册之黔之驴苏教PPT教案.pptx

    在唐代文学的瑰丽长廊中,柳宗元的《黔之驴》以其独特的寓言体裁和深邃的哲理,成为了一颗璀璨的明珠。这篇故事不仅以其精妙的叙述技巧令人赞叹,更以其深刻的寓意耐人寻味。《黔之驴》作为七年级语文下册教材中的一...

    寓言故事题目大全.doc

    这些故事以其独特的艺术形式,通过简短、生动的故事传达了智慧和人生经验,对后世产生了深远影响。 1. 《奕秋诲奕》:这个故事讲述了古代著名的棋手奕秋教导两个学生下棋的故事。奕秋是历史上第一位被记载的围棋...

    江苏专用2016高考语文二轮专题复习保温练21语言文字运用+名句默写+实用类文本阅读一

    而“沽名钓誉”强调的是为了一己之名利而故意做作,吸引他人关注;“盗名窃誉”则与“欺世盗名”相近,但更侧重于暗中窃取他人的名誉。这些细微的差别需要学生在平时的学习中不断积累,并通过具体的语境去理解和掌握...

    (三年级语文教案)如何让荣辱观走进课堂——《和氏献璧》教学例谈.pdf

    在深入学习环节,教师可以引导学生分析卞和的行为和言语,理解他为何对宝玉有如此深厚的感情,并从中揭示出“以爱国忠诚为荣,以欺世盗名为耻”的道德观。 在教学过程中,教师应该注重培养学生的批判性思维和情感...

    历数国内IT职业经理人的十大恶习.pdf

    8. 欺世盗名:某些经理人可能伪造学历或窃取企业知识产权,以提高个人声誉。 9. 排斥异己:通过建立亲信团队,排除异己,巩固自己的地位,阻碍公司内部的创新和协作。 10. 缺乏归宿感:频繁跳槽反映经理人对企业...

    高一语文谏太宗十思疏练习题-8页.pdf

    5. “克终者寡”和“木之长者”中的“者”都表示原因,与C项中的“以”意思相同,表示凭借。 6. 奏疏是古代臣子向帝王进言的文书。文章提到的“十思”与古代圣君倡导的“九德”有关,即他们的行为准则。九德通常包括...

    吉林省白城市第一中学2020学年高一语文12月月考试题.doc

    9. 补写语句:根据上下文,括号内的语句应该强调根本原因在于名、利,选项C“难逃名、利二字”符合逻辑,且结构与前文一致。 10. 词语填空:需根据语境选择合适的成语,如“欺世盗名”与“沽名钓誉”都有获取名誉的...

    北师大版八年级语文上册第二单元测试题及答案.doc

    - A项正确,倒行逆施:行为违反常理,反其道而行之,通常用来形容所做的事情违背正义和进步的方向。 - B项正确,刻骨铭心:形容印象深刻,难以忘怀,常用于表达对别人的感激之情。 - C项正确,义无反顾:在道义上...

    小学语文反义词有关隐秘的近义词反义词和造句

    例如,在句子“欺世盗名的人会招致不测之祸,心思隐秘而不外泄的人也会招致不测之祸,怀有二心的人同样会招致不测之祸”中,使用“隐秘而不外泄”来描述那些不轻易展示真实想法的人。这不仅让孩子们理解了“隐秘”这...

    二年级语文下册 狐假虎威 3教案 苏教版 教案.doc

    本教案以苏教版教材为依据,设计了一系列教学活动,旨在全面提升学生们的语文素养。 首先,本课的教学目标着重于朗读能力、字词学习和成语理解。通过对课文的反复朗读,学生可以培养语感,学会表达文中蕴含的情感。...

    苏教版五年级上册语文成语故事PPT学习教案.pptx

    在当今社会,这种现象屡见不鲜,无论是在学术研究还是日常生活中,保持言行一致都是为人处世的基本准则。例如,一个企业的领导人如果在公开场合做出承诺,却在实际行动中背道而驰,那么他所代表的企业的信誉和权威...

    甘肃省会宁县翟所中学2020学年度八年级语文第一学期第一次月考试题 北师大版.doc

    3. 错别字改正题让学生找出并改正词语中的错误,如“晃然大悟”应该是“恍然大悟”,“无与纶比”应该是“无与伦比”,“不径而走”应该是“不胫而走”,“期世盗名”应该是“欺世盗名”,这旨在提高学生的文字素养...

    中国寓言故事DOC

    这份资料适合不同年龄段的人群,无论是儿童的启蒙教育,还是成年人对传统文化的深入理解,都能从中受益。下面我们将详细探讨这份文档中的关键知识点。 1. **寓言故事的定义**:寓言是一种文学形式,通过讲述动物、...

    西藏林芝市第二高级中学2020学年高二语文下学期第一阶段考试(期中)试题.doc

    6. 词性及情感色彩:题目中提到了一些贬义词,如“指手画脚”表示批评或指挥别人时动作过多,“鹦鹉学舌”比喻人没有主见,只会盲目模仿,“欺世盗名”指的是欺骗世人,窃取名誉。 7. 句子排序:这涉及到语言逻辑和...

    七年级语文上册 (词义)专项复习 试题.doc

    68. **欺世盗名**:欺骗世人以获取名誉。 69. **金字牌匾**:象征声誉的招牌。 70. **对答如流**:回答问题流利自如。 71. **妙语连珠**:言辞优美,连珠成串。 72. **目瞪口呆**:惊讶得说不出话来。 73. **...

    全国通用2016高考语文二轮复习保温练21语言文字运用+名句默写+实用类文本阅读一

    例如,第一题要求学生根据语境选择最合适的成语,涉及的成语有“欺世盗名”、“沽名钓誉”和“盗名窃誉”,这三个成语都有谋取名誉的含义,但程度和方式不同。解题关键在于理解它们的细微差别,选择最符合语境的一项...

Global site tag (gtag.js) - Google Analytics