360以安全之名做搜索，可信，还是欺世盗名？

昨天有位朋友推荐对我的网站进行 360 安全检测。没多想就进行了一下检测，检测结果出来了吓了一跳，我的网站安全评分是 44 分，安全状况是“高危”，如下是检测的截图：

360 作为一个拥有几亿用户的公司，他的检测结果按理说应该是靠谱的吧？ 作为普通人我们第一印象也许会这样想。但是事实如何呢？

　　
我们来逐个分析一下 360 检测出来的漏洞，看是否靠谱：

第一个漏洞，是所谓的高危漏洞，其详细描述如下：

漏洞名称是：Struts2 命令执行漏洞，危害是：黑客可以利用该漏洞直接在网站执行任意命令，从而有可能直接控制网站服务器，盗取网站数据，影响网站的正常运营。

　　
这个漏洞是 java 的 web 开发框架 struts2 的安全漏洞，而我的网站是用 Python+webpy 开发的，根本就不是一回事儿，360 简单的在 url 上查询到带有 Index.action 居然就认为这是一个网站的高危漏洞，这有什么技术含量，有一点点科学态度吗？

其检测的其余两个警告级别的漏洞和轻微级别的漏洞，和上面的高危漏洞如出一辙，请看下面 360 检测页面的截图：

　　
第一个警告漏洞页面异常导致本地路径泄漏，意思是 url： http://outofmemory.cn/code-snippet/1987/itext-daochu-word-document-changyong-method-summary 会泄露本地路径，而这个 url 是一个动态的重写 url，和本地路径半毛钱关系都没有。

 

第二个警告漏洞：发现 install.php 文件 是一个 php 才有的漏洞，而如上所说我的网站是用 python+webpy 开发的，install.php 在网站上根本不存在，360 简单的从 url 上是否包含 install.php 就认为这是一个安全漏洞了。

　　
最后一个轻微漏洞，和第二个警告漏洞一样伟大的安全公司 360 也是仅从 url 上是否包含某些字符串，来判断是否是漏洞。

 

这就是 360，以安全的名义做搜索的 360 的“网站漏洞安全检测”程序检测出来的结果，而且该结果还会通过它的搜索页面 http://www.so.com/s?ie=utf-8&src=360sou_home&q=site%3Aoutofmemory.cn&_re=0显示给公众！

　　
如此不科学的检测，如此轻率的安全检测结果，世间少有呀！

360 以安全的名义做搜索，你信吗？你还敢信吗？

评论

32 楼 dsjt 2013-02-01  

利用URL推断网站使用技术，然后提示软件漏洞，也无可厚非啊。
难道要他利用这些漏洞攻击你一下来证明？


当然你吐槽360的其他行为，就与此无关了

31 楼 Tyrion 2013-02-01  

360 百度都上了我自己的黑名单，他们公司的东西能不用就不用。

30 楼 iqeq00 2013-02-01  

kjj 写道

yukaizhao 写道

也许我们该反思一下，为什么360技术不算太好，但是用户量那么大，为什么我们自认为有技术，可是产品没多少用户，或者说没有他那么大的用户量。

360靠的就是忽悠吗？ 还是有其他我们都不了解的东西，在帮助它成功。

这才是真正能成为程序员的理智！

争这些都没用，存在就有原因，那么多人说明有它存在的原因。
抓着这些不放，还不如反思下自己才是真的...

29 楼 小野千帆 2013-01-31  

小野千帆 写道

哈哈我的100分  http://webscan.360.cn/sou/index/url/loli.io?utm_campaign=360so

我靠  我网站评论突然多了几百条垃圾评论  不知道是不是360搞的鬼

28 楼 小野千帆 2013-01-31  

哈哈我的100分  http://webscan.360.cn/sou/index/url/loli.io?utm_campaign=360so

27 楼 boygirl 2013-01-31  

360比百度强啊，百度漏洞百出啊

26 楼 kjj 2013-01-31  

yukaizhao 写道

也许我们该反思一下，为什么360技术不算太好，但是用户量那么大，为什么我们自认为有技术，可是产品没多少用户，或者说没有他那么大的用户量。

360靠的就是忽悠吗？ 还是有其他我们都不了解的东西，在帮助它成功。

这才是真正能成为程序员的理智！

25 楼 yukaizhao 2013-01-31  

yunzhongxia 写道

360的人肯定看到你的文章了，你再测试下，分数提高了很多。无耻的360

360确实调了我网站的分数。有可能是手动调整。

24 楼 boygirl 2013-01-31  

还不错。。。。。。。。还可以。。。。。。。。。。。。。

23 楼 yunzhongxia 2013-01-31  

360的人肯定看到你的文章了，你再测试下，分数提高了很多。无耻的360

22 楼 OpenMind 2013-01-31  

流氓360，一直很鄙视

21 楼 malie0 2013-01-31  

这就跟天朝过滤敏感词一样傻×，比如24口交换机

20 楼 chengrei 2013-01-31  

archy123 写道

你真以为360有那技术实力，你就太认真了。
360本身技术实力一般般。只不过靠中国80%不懂电脑的人的支持才有今天！

这倒是真的。。
我的电脑一款360的软件都没有...

19 楼 rmn190 2013-01-31  

像房姐一样的360， 伟大的国度。

18 楼 txf_7337 2013-01-31  

从来没见你写过python方面的内容，django不用去用webpy。。
360现在报5个漏洞了，我没权限看不到，能帖出来吗？
你的网站貌似死了吧

17 楼 txf_7337 2013-01-31  

你的网站打不开

504 Gateway Time-out
nginx/1.1.19

16 楼 qianhd 2013-01-31  

360不死 天理难容

15 楼 ray_linn 2013-01-31  

360 的蜘蛛名字叫什么？我已经屏蔽了百度了。

14 楼 yukaizhao 2013-01-31  

在世界的中心呼喚愛 写道

这篇文章就是copy来的。还有网络格式在那。。。
没有什么意义。
能赚钱的项目才是好项目，不能赚钱，技术在新潮，也没用。

这篇文章是我的原创文章，亲身经历，别的地方也有，是因为我在博客园也有博客，仅此而已。请不要阴谋论

13 楼 焦志广 2013-01-31  

总比百度强吧