360以安全之名做搜索，可信，还是欺世盗名？

昨天有位朋友推荐对我的网站进行 360 安全检测。没多想就进行了一下检测，检测结果出来了吓了一跳，我的网站安全评分是 44 分，安全状况是“高危”，如下是检测的截图：

360 作为一个拥有几亿用户的公司，他的检测结果按理说应该是靠谱的吧？ 作为普通人我们第一印象也许会这样想。但是事实如何呢？

　　
我们来逐个分析一下 360 检测出来的漏洞，看是否靠谱：

第一个漏洞，是所谓的高危漏洞，其详细描述如下：

漏洞名称是：Struts2 命令执行漏洞，危害是：黑客可以利用该漏洞直接在网站执行任意命令，从而有可能直接控制网站服务器，盗取网站数据，影响网站的正常运营。

　　
这个漏洞是 java 的 web 开发框架 struts2 的安全漏洞，而我的网站是用 Python+webpy 开发的，根本就不是一回事儿，360 简单的在 url 上查询到带有 Index.action 居然就认为这是一个网站的高危漏洞，这有什么技术含量，有一点点科学态度吗？

其检测的其余两个警告级别的漏洞和轻微级别的漏洞，和上面的高危漏洞如出一辙，请看下面 360 检测页面的截图：

　　
第一个警告漏洞页面异常导致本地路径泄漏，意思是 url： http://outofmemory.cn/code-snippet/1987/itext-daochu-word-document-changyong-method-summary 会泄露本地路径，而这个 url 是一个动态的重写 url，和本地路径半毛钱关系都没有。

 

第二个警告漏洞：发现 install.php 文件 是一个 php 才有的漏洞，而如上所说我的网站是用 python+webpy 开发的，install.php 在网站上根本不存在，360 简单的从 url 上是否包含 install.php 就认为这是一个安全漏洞了。

　　
最后一个轻微漏洞，和第二个警告漏洞一样伟大的安全公司 360 也是仅从 url 上是否包含某些字符串，来判断是否是漏洞。

 

这就是 360，以安全的名义做搜索的 360 的“网站漏洞安全检测”程序检测出来的结果，而且该结果还会通过它的搜索页面 http://www.so.com/s?ie=utf-8&src=360sou_home&q=site%3Aoutofmemory.cn&_re=0显示给公众！

　　
如此不科学的检测，如此轻率的安全检测结果，世间少有呀！

360 以安全的名义做搜索，你信吗？你还敢信吗？

评论

52 楼 liuyfly 2013-05-04  

曾经用了很久的360，不过也已经告别它很久了。

51 楼 yukaizhao 2013-02-06  

white_crucifix 写道

archy123 写道

dsjt 写道

利用URL推断网站使用技术，然后提示软件漏洞，也无可厚非啊。
难道要他利用这些漏洞攻击你一下来证明？


当然你吐槽360的其他行为，就与此无关了

利用URL推断网站技术是真是扯淡行为。

利用URL推断网站技术本质上的确是扯淡行为。不过我想了想，这里有值得玩味的地方。如果360是按照统计学的逻辑出发来设计这个产品的呢？

如果世界上80%的含有.action后缀的都是java web，是我我也敢根据action上直接说你用的struts。就像做cache产品，一定的miss rate还是可以接受的。

上面说的是点，从面上来说，360可能想要尽可能以大多数网站习惯，大多数编码习惯，大多数命名习惯来做判断。我想，这个产品360所欠缺的地方，是360这样的国产“屌丝”公司没有像google一样的科学底蕴。如果是google，必然会将统计学做的更精准，数学模型建的更好，人家是有“科学家”的。

PS一个小插曲： 突然想到上面那些原因。是因为想到身边很多写脚本语言的朋友，写perl的，写python的，都经常吐槽java，也不太喜欢java。所以看到博主用python写网站也用strutser喜欢的action后缀，有所联想。

那个后缀是用户可控制的，是为了SEO，根据用户输入生成的字符串，action不是我想加的哦。

btw，java和python都很优秀，我都在用，各有千秋。

50 楼 leero 2013-02-04  

一个做垃圾软件做流氓软件起家的公司，你想它能好么？

360就一堆臭狗屎

49 楼 Tyrion 2013-02-04  

有做安全的朋友吗？分析URL字符规则也能用作安全检测？

48 楼 yukaizhao 2013-02-04  

zsxxsz 写道

yukaizhao 写道

zsxxsz 写道

玉开，没想到在这儿还能遇到你，呵呵。文章很受欢迎呀

兄台是哪位？

zhengshuxin，可记得否？

和讯的老同事，当然记得。 

47 楼 zsxxsz 2013-02-03  

yukaizhao 写道

zsxxsz 写道

玉开，没想到在这儿还能遇到你，呵呵。文章很受欢迎呀

兄台是哪位？

zhengshuxin，可记得否？

46 楼 white_crucifix 2013-02-03  

archy123 写道

dsjt 写道

利用URL推断网站使用技术，然后提示软件漏洞，也无可厚非啊。
难道要他利用这些漏洞攻击你一下来证明？


当然你吐槽360的其他行为，就与此无关了

利用URL推断网站技术是真是扯淡行为。

利用URL推断网站技术本质上的确是扯淡行为。不过我想了想，这里有值得玩味的地方。如果360是按照统计学的逻辑出发来设计这个产品的呢？

如果世界上80%的含有.action后缀的都是java web，是我我也敢根据action上直接说你用的struts。就像做cache产品，一定的miss rate还是可以接受的。

上面说的是点，从面上来说，360可能想要尽可能以大多数网站习惯，大多数编码习惯，大多数命名习惯来做判断。我想，这个产品360所欠缺的地方，是360这样的国产“屌丝”公司没有像google一样的科学底蕴。如果是google，必然会将统计学做的更精准，数学模型建的更好，人家是有“科学家”的。

PS一个小插曲： 突然想到上面那些原因。是因为想到身边很多写脚本语言的朋友，写perl的，写python的，都经常吐槽java，也不太喜欢java。所以看到博主用python写网站也用strutser喜欢的action后缀，有所联想。

45 楼 white_crucifix 2013-02-03  

yukaizhao 写道

也许我们该反思一下，为什么360技术不算太好，但是用户量那么大，为什么我们自认为有技术，可是产品没多少用户，或者说没有他那么大的用户量。

360靠的就是忽悠吗？ 还是有其他我们都不了解的东西，在帮助它成功。

博主这句话说的是对的。
虽然360做得差的地方多的都不想吐槽了。但是作为程序员，千万不要觉得360的成功是靠忽悠80%不懂技术的用户。如果没有360存在,80%非专业用户的电脑环境将比现在更糟。且，无替代品。

商业活动中，技术永远是给市场打助攻。

44 楼 yukaizhao 2013-02-02  

zsxxsz 写道

玉开，没想到在这儿还能遇到你，呵呵。文章很受欢迎呀

兄台是哪位？

43 楼 zsxxsz 2013-02-02  

玉开，没想到在这儿还能遇到你，呵呵。文章很受欢迎呀

42 楼 yzxqml 2013-02-01  

这个是我们几个人用SSH2自己搞的一个小OA。。。神马安全都没考虑过，估计注入都能注进去。。。。360都给100分哦亲~~~ 地址栏直接访问Action都能500的。     

41 楼 flashing 2013-02-01  

archy123 写道

你真以为360有那技术实力，你就太认真了。
360本身技术实力一般般。只不过靠中国80%不懂电脑的人的支持才有今天！

re，尤其靠恐吓用户！

40 楼 zhouxingfu520 2013-02-01  

不懂电脑的人用360的多  一箩筐啊，桌面、卫士、杀毒、浏览器  整个电脑都是绿的。

39 楼 xiaotao.2010 2013-02-01  

就靠输入一个URL 就能检测安全性的功能，看着笑笑就行了，没必要多较劲！

38 楼 netkiller.github.com 2013-02-01  

流氓企业，流氓软件，流氓管理层。

37 楼 xiezuowanga 2013-02-01  

360就用的那么爽吗？

36 楼 bright_cailiang 2013-02-01  

额，我的电脑还是神机咧。

35 楼 flyfan 2013-02-01  

没用360任何东西，鲁大师归为360后，也不再用了

34 楼 mathgl 2013-02-01  

360也敢信？

33 楼 archy123 2013-02-01  

dsjt 写道

利用URL推断网站使用技术，然后提示软件漏洞，也无可厚非啊。
难道要他利用这些漏洞攻击你一下来证明？


当然你吐槽360的其他行为，就与此无关了

利用URL推断网站技术是真是扯淡行为。