360网站安全检测服务曝漏洞

wz***

　　5月6日晚，360网站安全检测有安全漏洞。

　　本是给站长用做评估同机房网站安全性的功能，却赤裸裸的把其他网站的整体安全状况暴露在公众面前，导致黑客无需扫描即可知道哪些网站有高危漏洞，从而省去 “踩点”的时间。还记得多年前用domain去找同主机漏洞吗?

　　对，这个比那一个还恨，直接把漏洞都以数值的形式列出来了。以后想搞站不用去用扫描器一大批一大批的扫描了，直接上去找就OK。并且，比以前的某用了好几年的搞站方法(当年用那个秒了好多)还好用。直接找到低评分的网站下手就是……

　　目前360已确认该漏洞，并回应称：

　　该功能设计初衷是为了能让更多站长了解自己所在虚拟主机的风险情况，以便选择更佳安全的环境。因为所在主机其他网站存在漏洞，在特殊情况下，可能导 致攻击者 在渗透并控制整台服务器权限后，波及到网站安全。鉴于此，我们已经第一时间关闭该功能，以避免被专业的不法份子所利用。让更多网站变的越来越安全是我们 Webscan的设计初衷和目标。

　　消息来源：卢松松博客