昨天有位朋友推荐对我的网站进行 360 安全检测。没多想就进行了一下检测,检测结果出来了吓了一跳,我的网站安全评分是 44 分,安全状况是“高危”,如下是检测的截图:
360 作为一个拥有几亿用户的公司,他的检测结果按理说应该是靠谱的吧? 作为普通人我们第一印象也许会这样想。但是事实如何呢?
我们来逐个分析一下 360 检测出来的漏洞,看是否靠谱:
第一个漏洞,是所谓的高危漏洞,其详细描述如下:
漏洞名称是:Struts2 命令执行漏洞,危害是:黑客可以利用该漏洞直接在网站执行任意命令,从而有可能直接控制网站服务器,盗取网站数据,影响网站的正常运营。
这个漏洞是 java 的 web 开发框架 struts2 的安全漏洞,而我的网站是用 Python+webpy 开发的,根本就不是一回事儿,360 简单的在 url 上查询到带有 Index.action 居然就认为这是一个网站的高危漏洞,这有什么技术含量,有一点点科学态度吗?
其检测的其余两个警告级别的漏洞和轻微级别的漏洞,和上面的高危漏洞如出一辙,请看下面 360 检测页面的截图:
第一个警告漏洞页面异常导致本地路径泄漏,意思是 url: http://outofmemory.cn/code-snippet/1987/itext-daochu-word-document-changyong-method-summary 会泄露本地路径,而这个 url 是一个动态的重写 url,和本地路径半毛钱关系都没有。
第二个警告漏洞:发现 install.php 文件 是一个 php 才有的漏洞,而如上所说我的网站是用 python+webpy 开发的,install.php 在网站上根本不存在,360 简单的从 url 上是否包含 install.php 就认为这是一个安全漏洞了。
最后一个轻微漏洞,和第二个警告漏洞一样伟大的安全公司 360 也是仅从 url 上是否包含某些字符串,来判断是否是漏洞。
这就是 360,以安全的名义做搜索的 360 的“网站漏洞安全检测”程序检测出来的结果,而且该结果还会通过它的搜索页面 http://www.so.com/s?ie=utf-8&src=360sou_home&q=site%3Aoutofmemory.cn&_re=0显示给公众!
如此不科学的检测,如此轻率的安全检测结果,世间少有呀!
360 以安全的名义做搜索,你信吗?你还敢信吗?
相关推荐
教育精品资料
官方kX3551本身是测试版,欺世盗名之徒利用测试版收费,这是对所有的kX驱动爱好者一种侮辱,同时也违背了开发小组的免费共享宗旨!早在2011年6月12日,Win7+kX3551插件集,国外 莱克斯先生 编写者就放出免费共享了。...
历时四年,在继好评如潮的《你好,放大器》之后,有“西北模电王”之称的著名教授西安交通大学电气工程学院杨建国老师携模电系列丛书《新概念模拟电路》再度归来!全书共五册,近50万字,一样的风趣幽默,一样的...
杭州电子科技大学,期末考试资料,计算机专业期末考试试卷,试卷及答案,数据结构。
重庆大学期末考试试卷,重大期末考试试题,试题及答案
年会班会资料,节目策划,游戏策划,策划案,策划方案,活动方案,筹办,公司年会,开场白,主持人,策划主题,主持词,小游戏。
基于Django框架的博客系统.zip
【基于Springboot+Vue的Java毕业设计】校园服务平台项目实战(源码+录像演示+说明).rar 【项目技术】 开发语言:Java 框架:Spingboot+vue 架构:B/S 数据库:mysql 【演示视频-编号:321】 https://pan.quark.cn/s/8dea014f4d36 【实现功能】 系统可以提供信息显示和相应服务,其管理员增删改查接单员和接单员资料,审核接单员预订订单,查看订单评价和评分,通过留言功能回复用户提问。
Excel数据看板,Excel办公模板,Excel模板下载,Excel数据统计,数据展示
PTS技术内含数据集.zip
工作总结,新年计划,岗位总结,工作汇报,个人总结,述职报告,范文下载,新年总结,新建计划。
重庆大学期末考试试卷,重大期末考试试题,试题及答案
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
空间复用的MIMO系统的信号检测OSIC检测方法内含数据集.zip
该毕业设计使用了比较受前端欢迎的vue框架技术,是一个纯前端的项目,没有使用后端java程序和数据库。如果你刚学完vue相关的知识,可以通过该项目源码对vue加以巩固。现在流行无纸化办公,该项目主要解决了问卷调查相关的问题。 主要功能包括:问卷发布,数据查看。其中数据查看以图表的方式展现,便于使用者查看调查结果。
工作总结,新年计划,岗位总结,工作汇报,个人总结,述职报告,范文下载,新年总结,新建计划。
空间复用的MIMO系统的信号检测MIMO系统的QRM-MLD检测器的软判决内含数据集.zip
重庆大学期末考试试卷,重大期末考试试题,试题及答案
数字政府建设实施方案建议.rar文件是一个综合性的数字化转型解决方案精品资料,旨在为政府部门提供一个详细的蓝图和指导方针,以推进公共服务的数字化进程。这个方案强调了数字化在提高政府效率、透明度以及民众参与度方面的重要性,并提出了具体的实施步骤,包括基础设施升级、数据管理、在线服务平台建设、网络安全保障等关键要素。通过整合现代信息技术,如云计算、大数据分析、人工智能和移动互联,本方案不仅致力于优化内部工作流程,还着眼于提升公众与政府的互动体验。它涵盖了从政策制定到技术执行的各个层面,确保了数字政府建设的全面性和系统性,同时考虑到了可持续性和未来的技术演进。这份资料是任何希望实现现代化治理和服务的政府机构不可或缺的参考资源,有助于构建一个更加智能化、高效和公民友好的数字政府环境。重新回答||