亲爱的用户,您关注的9月月度榜单今日揭榜,请谨慎阅读。
9月榜单出炉,SRC全面改版,不知道大家有没有探索到好玩的功能?比如QTA,比如实验室,比如名人堂……
后续360SRC的工作重心将转移到对白帽子的荣誉体系维护上,希望我们能为各位白帽子们提供最优秀的服务!请大家大力关注360SRC的微信公众号,我们将会陆续对新官网的每一个新功能进行专题性的介绍。本月漏洞质量延续上月的走高,发放的奖金隐隐有超越上个月的趋势!这个月的热潮又是由哪些英雄缔造的呢?让我们一起揭榜!
2016年9月“月度突出贡献”白帽子获奖名单
类型 | 排名 | 获奖者 | 奖金 |
web端 | 一等奖 | y1ng | 5000 |
二等奖 | ifelse | 3000 | |
三等奖 | getshell1993 | 1000 | |
移动端 | 一等奖 | 空缺 | 5000 |
二等奖 | Mr.李博士 | 3000 | |
三等奖 | qihoo | 1000 |
九月里,360安全应急响应中心共收到164个漏洞,其中91个有效漏洞;漏洞详情为web端漏洞134个,移动端漏洞20个,PC端漏洞1个,服务器端漏洞9个。
2016年9月漏洞统计名单
漏洞编号 | 漏洞名称 | 威胁等级 | |
4068 [中] [w] 4069 [中] [w] 4083 [中] [w] 4084 [中] [w] 4106 [低] [w] 4109 [中] [w] 4135 [中] [w] 4138 [低] [w] 4139 [低] [w] 4140 [低] [w] 4141 [低] [w] 4142 [低] [w] 4143 [中] [w] 4144 [高] [w] 4147 [中] [w] 4150 [高] [w] 4151 [高] [w] 4152 [高] [w] 4153 [高] [w] 4154 [高] [w] 4155 [高] [w] 4156 [中] [w] 4157 [高] [w] 4159 [高] [w] 4206 [高] [w] 4221 [中] [w] 4089 [高] [w] 4090 [高] [w] 4091 [高] [w] 4092 [高] [w] 4093 [严重] [w] 4162 [低] [w] 4177 [高] [w] 4178 [高] [w] 4179 [高] [w] 4180 [高] [w] 4115 [严重] [w] 4117 [高] [w] 4218 [高] [w] 4108 [严重] [w] 4173 [高] [w] 4192 [高] [w] 4193 [高] [w] 4194 [高] [w] 4195 [高] [w] 4196 [高] [w] 4197 [高] [w] 4198 [高] [w] 4199 [高] [w] 4200 [高] [w] 4204 [高] [w] 4101 [中] [w] 4102 [低] [w] 4103 [中] [w] 4146 [严重] [w] 4148 [严重] [w] 4149 [严重] [w] 4170 [低] [w] 4051 [高] [w] 4052 [低] [w] 4053 [低] [w] 4054 [低] [w] 4061 [中] [w] 4130 [中] [w] 4064 [中] [w] 4070 [低] [w] 4066 [低] [w] 4082 [低] [w] 4085 [严重] [w] 4096 [中] [w] 4097 [中] [w] 4104 [高] [w] 4105 [中] [w] 4107 [中] [w] 4186 [低] [w] 4187 [低] [w] 4189 [低] [w] 4205 [低] [w] 4219 [低] [w] 4220 [低] [w] 4182 [严重] [w] 4185 [严重] [w] 4188 [严重] [w] 4190 [严重] [w] 4201 [低] [w] 4202 [低] [w] 4203 [低] [w] 4164 [严重] [w] 4165 [严重] [w] 4166 [严重] [w] 4167 [严重] [w] 4168 [严重] [w] 4169 [严重] [w] 4055 [中] [w] 4058 [低] [w] 4059 [低] [w] 4060 [低] [w] 4062 [严重] [w] 4077 [高] [w] 4078 [高] [w] 4095 [低] [w] 4116 [低] [w] 4119 [中] [w] 4120 [严重] [w] 4124 [低] [w] 4071 [高] [w] 4072 [高] [w] 4073 [高] [w] 4207 [低] [w] 4208 [低] [w] 4209 [低] [w] 4210 [低] [w] 4099 [高] [w] 4100 [严重] [w] 4137 [中] [w] 4136 [中] [w] 4160 [中] [w] 4161 [中] [w] 4171 [中] [w] 4172 [中] [w] 4079 [低] [w] 4217 [无] [w] 4063 [中] [w] 4065 [高] [w] 4086 [低] [w] 4087 [中] [w] 4088 [中] [w] 4094 [低] [w] 4110 [中] [w] 4114 [低] [w] 4118 [高] [w] 4129 [中] [w] 4132 [高] [w] 4191 [严重] [w] 4163 [高] [M] 4174 [严重] [M] 4175 [高] [M] 4176 [高] [M] 4214 [低] [M] 4215 [中] [M] 4216 [中] [M] 4126 [中] [M] 4127 [中] [M] 4128 [中] [M] 4145 [高] [M] 4211 [高] [M] 4212 [高] [M] 4213 [高] [M] 4081 [中] [M] 4181 [低] [M] 4184 [低] [M] 4183 [低] [M] 4131 [高] [M] 4158 [中] [M] 4098 [中] [P] 4111 [严重] [S] 4112 [严重] [S] 4113 [严重] [S] 4074 [高] [S] 4075 [高] [S] 4076 [高] [S] 4056 [高] [S] 4057 [高] [S] 4067 [中] [S] | 360某站储存XSS可打cookie 360某站储存XSS#2 360某站反射XSS 360某站反射XSS 360某站XSS 360某站弱口令信息泄漏 360某站文件遍历 360某站XSS1 360某站XSS 360某站XSS 360某站XSS 360某站XSS 360手机某站Elasticsearch 未授权访问漏洞 360某站SQL注入 360旗下某站git数据泄露 [注入专场]360某站到管理关闭waf后继续注入 [注入专场]360某站继续注入#2 [注入专场]360某站继续注入#2 [注入专场]360某站继续注入#3 [注入专场]360某站继续注入#4 [注入专场]360某站继续注入#5 [XSS专场]360某站反射XSS [注入专场]360某站继续注入#6 [注入专场]360某站继续注入#7 360某后台弱口令已入后台 360某站URL跳转 360某站一处弱口令 360某站未授权访问 360某站另一地址未授权访问 360某站cookie泄漏可登录 360某站存在一处sql注入 360某站反射型xss 360某站未授权可编辑修改 360某站未授权访问+cookie泄漏可登录到系统 360某站未授权访问+cookie泄漏可登录到系统 360某站存在sql注入 360某业务某员工邮箱弱口令泄露敏感信息 360某业务另一员工邮箱弱口令泄露业务敏感信息 360某业务某开发邮箱弱口令可连接sftp 360某处修复不完整导致直入内网 设计缺陷可以登录任意360某站用户账号【oauth】 360某处ssrf 可以打内网(有回显) 360某处ssrf 可以打内网(有回显) 360某处ssrf 可以打内网(有回显) 360某处ssrf 可以打内网(有回显) 360某处ssrf 可以打内网(有回显) 360某处ssrf 可以打内网(有回显) 360某处ssrf 可以打内网(有回显) 360某处ssrf 可以打内网(有回显) 360某处ssrf 可以打内网(有回显) 360某站缺陷导致可以劫持账号 360某站 Flash XSS 360某站 反射xss 360某站 Flash XSS 360某站 任意文件遍历漏洞 360某站 任意文件遍历漏洞 360某站 任意文件遍历漏洞 360某站 反射XSS 360某站逻辑漏洞可致刷取金币 360某站某处反射XSS 360某站某处反射XSS 360某站某后台反射xss 360某站反射xss 某应用撞裤接口 360内部项目代码泄露 360某站搜索处XSS 员工github信息泄露 360某站存在逻辑/串号问题 内网大量idc信息泄露 360某站评论存在CSRF漏洞 360某站投票处CSRF漏洞,并且可突破一天只能投一次的限制 360某站四处csrf漏洞打包 360某站js代码缺陷导致jsonp漏洞,可获取用户手机号码 360某站某处csrf 360某站某站信息泄露 360某站某站信息泄露 360某站某站信息泄露 360某站某站信息泄露 360某站某站短信轰炸 360某站某站url跳转 360某站敏感信息泄露 tp框架日志泄露导致串号 tp框架日志泄露导致串号 360某站bug 爆物理路径一处 360某站报错 功能型bug,导致二次伤害 关于360某站-反复签到抽奖积分-漏洞 关于360某站-反复签到抽奖积分-漏洞 关于360某站-反复签到抽奖积分-漏洞 关于360某站-反复签到抽奖积分-漏洞 关于360某站-反复签到抽奖积分-漏洞 关于360某站-反复签到抽奖积分-漏洞 一处反射xss 一处xss不成可csrf 一处xss不成可csrf 某标签注入可csrf 疑似一处vpn管理弱口令 众城翻译SQL注入 众城翻译SQL注入2 360某站某处XSS 360某站官网某处XSS漏洞 360某CDN节点crossdomain.xml配置不当易产生CSRF漏洞 360某应用APP-MySQL数据库服务器_MySQL_ROOT权限 360旗下某IP服务器未授权访问致配置信息泄露 360某站存在 poodle漏洞 360某站存在 poodle漏洞 2 360某站存在 poodle漏洞 360某站selfXSS一只 360某站selfXSS一只 某站配置不当可下载.htaccess 敏感路径泄露 360某站登陆框万能密码绕过 360某站登陆框万能密码绕过... 360某站CSRF 360某站CSRF 分站xss 分站xss2 360某站某处逻辑漏洞可获取漏洞标题和描述信息 360某站某处逻辑漏洞可获取漏洞标题和描述信息 test test 某分站flash xss漏洞 360app下载构建安全跳转可建钓鱼网站 360某站注册时url跳转 360某站存在存储xss 测试2 360某站某处xss 360某站一处XSS test 360某站某处逻辑漏洞 某站泄露内网信息 某航空企业某业务存在逻辑漏洞 360某处getshell +sql注入 Android360某应用越权漏洞 360某应用下载可以被劫持并静默安装 360某应用文apk下载中间人劫持 360某应用自升级校验不完全导致中间人中马 360某应用广播越权漏洞 360某应用activity越权漏洞 360某应用activity越权漏洞 360某应用信息泄露 360某应用手势密码绕过 360某应用信息泄露 360某应用最新版本intent scheme漏洞(一) 360某应用权限泄露 360某应用权限泄露 360某应用越权下载 222 百度文库拒绝服务漏洞 1.11111E+13 1.11111E+16 360APP挑战赛(360360某应用手机客户端中间人劫持漏洞) 张双峰 kb3083992 image命令执行 360某站命令执行 360某站命令执行 360 某功能 存在 poodle漏洞 360某站存在 poodle漏洞 2 360某站存在 poodle漏洞 2 DNS_Discover_and_Bind9_TKEY_assert_DOS DNS_Discover_and_Bind9_TKEY_assert_DOS(2) 一间清扫文件损坏 | 中 低 低 低 低 无 低 低 无 无 无 无 无 无 无 高 无 无 高 高 高 低 高 高 高 低 中 低 低 低 高 低 中 中 无 高 高 高 高 严重 中 中 无 无 无 无 无 无 无 无 中 低 低 低 无 高 无 低 中 低 低 低 低 低 中 低 低 无 中 低 低 低 低 无 低 无 无 中 中 低 低 低 无 低 低 无 无 无 无 无 无 无 无 无 无 无 无 无 无 无 低 低 低 低 无 无 无 无 低 无 低 低 无 低 无 无 低 低 无 无 无 无 无 无 低 低 无 低 低 无 低 无 无 无 中 高 无 中 低 无 无 无 无 无 中 低 无 无 无 无 无 无 无 无 无 高 高 高 无 无 低 低 低 无 |
我们由衷地感谢开黑吗?我玩源氏、letmetest123、exploit.py、xsseng、Zephyru5__、qh、panda、DMZLab、0h1in9e、冷白开、wind、sdm502、wcc5261、c0deeast、fyang81、一世长安、thx1、虚拟世界_001(排名不分前后)等43位白帽子在9月里为360做出的贡献。谢谢你们挖洞的热情与永不熄灭的正义感,希望大家再接再厉,帮助我们修复更多产品问题,给网民提供更好的安全服务。
欢迎更多朋友们前来360SRC打榜。
360安全应急响应中心的 “月度突出贡献”奖项详情:
http://security.360.cn/Index/news/id/22.html
360安全应急响应中心
微 博:@360安全应急响应中心
微 信:360安全应急响应中心