昨天有位朋友推薦對我的網站進行 360 安全檢測。沒多想就進行了一下檢測,檢測結果出來了嚇了一跳,我的網站安全評分是 44 分,安全狀況是“高危”,如下是檢測的截圖:
360 作為一個擁有幾億用戶的公司,他的檢測結果按理說應該是靠譜的吧? 作為普通人我們第一印象也許會這樣想。但是事實如何呢?
我們來逐個分析一下 360 檢測出來的漏洞,看是否靠譜:
第一個漏洞,是所謂的高危漏洞,其詳細描述如下:
漏洞名稱是:Struts2 命令執行漏洞,危害是:黑客可以利用該漏洞直接在網站執行任意命令,從而有可能直接控制網站服務器,盜取網站數據,影響網站的正常運營。
這個漏洞是 java 的 web 開發框架 struts2 的安全漏洞,而我的網站是用 Python+webpy 開發的,根本就不是一回事兒,360 簡單的在 url 上查詢到帶有 Index.action 居然就認為這是一個網站的高危漏洞,這有什么技術含量,有一點點科學態度嗎?
其檢測的其余兩個警告級別的漏洞和輕微級別的漏洞,和上面的高危漏洞如出一轍,請看下面 360 檢測頁面的截圖:
第一個警告漏洞頁面異常導致本地路徑泄漏,意思是 url: http://outofmemory.cn/code-snippet/1987/itext-daochu-word-document-changyong-method-summary 會泄露本地路徑,而這個 url 是一個動態的重寫 url,和本地路徑半毛錢關系都沒有。
第二個警告漏洞:發現 install.php 文件 是一個 php 才有的漏洞,而如上所說我的網站是用 python+webpy 開發的,install.php 在網站上根本不存在,360 簡單的從 url 上是否包含 install.php 就認為這是一個安全漏洞了。
最后一個輕微漏洞,和第二個警告漏洞一樣偉大的安全公司 360 也是僅從 url 上是否包含某些字符串,來判斷是否是漏洞。
這就是 360,以安全的名義做搜索的 360 的“網站漏洞安全檢測”程序檢測出來的結果,而且該結果還會通過它的搜索頁面 http://www.so.com/s?ie=utf-8&src=360sou_home&q=site%3Aoutofmemory.cn&_re=0顯示給公眾!
如此不科學的檢測,如此輕率的安全檢測結果,世間少有呀!
360 以安全的名義做搜索,你信嗎?你還敢信嗎?