亲爱的用户,您关注的7月月度榜单今日揭榜,请谨慎阅读。
上一月试发的公告里我们将详细的漏洞列表公开了,有小伙伴给小编反馈说我们胆很大,哈哈。不是胆子大,是因为360SRC希望能为大家提供更透明更好的服务!在后续的改版方向上,我们还会针对每一个漏洞专门发布详细的安全公告,以证明和认可白帽子的技术能力。本月漏洞质量那是相当没的说,除了熟面孔,还有不少新朋友入住360SRC,欢迎你们!本月发放的奖金有上月的2倍之高!四舍五入就是一个亿啊!下面让我们一起看看本月是哪些英雄上榜吧!
2016年7月“月度突出贡献”白帽子获奖名单
| 类型 | 排名 | 获奖者 | 奖金 |
| web端 | 一等奖 | SecBox.CN_蓝方 | 5000 |
| 二等奖 | 开黑吗?我玩源氏@单行网络 | 3000 | |
| 三等奖 | wuyongjia | 1000 | |
| 移动端 | 一等奖 | 空缺 | 5000 |
| 二等奖 | 空缺 | 3000 | |
| 三等奖 | 空缺 | 1000 |
七月里,360安全应急响应中心共收到198个漏洞,其中120个有效漏洞;漏洞详情为web端漏洞175个,移动端漏洞6个,PC端漏洞13个,服务器端漏洞4个。
2016年7月漏洞统计名单
| 漏洞编号 | 漏洞名称 | 威胁等级 | |
3701 [中][w] 3702 [低][w] 3703 [低][w] 3704 [高][w] 3705 [低][w] 3706 [低][w] 3707 [中][w] 3708 [高][w] 3710 [中][w] 3715 [低][w] 3720 [中][w] 3722 [无][w] 3724 [低][w] 3725 [低][w] 3726 [低][w] 3733 [低][w] 3739 [中][w] 3747 [低][w] 3748 [低][w] 3750 [高][w] 3751 [中][w] 3792 [高][w] 3794 [低][w] 3797 [高][w] 3798 [低][w] 3800 [低][w] 3802 [中][w] 3803 [低][w] 3804 [中][w] 3805 [低][w] 3814 [高][w] 3826 [高][w] 3842 [低][w] 3846 [高][w] 3847 [低][w] 3850 [严重] [w] 3869 [高][w] 3870 [高][w] 3877 [严重] [w] 3878 [高][w] 3884 [低][w] 3885 [低][w] 3689 [低][w] 3690 [高][w] 3691 [高][w] 3695 [高][w] 3697 [低][w] 3719 [高][w] 3723 [中][w] 3730 [低][w] 3731 [低][w] 3732 [低][w] 3752 [低][w] 3760 [低][w] 3761 [低][w] 3762 [低][w] 3763 [中][w] 3764 [低][w] 3767 [低][w] 3768 [中][w] 3771 [中][w] 3772 [中][w] 3793 [低][w] 3809 [中][w] 3810 [高][w] 3811 [高][w] 3816 [中][w] 3817 [低][w] 3818 [低][w] 3819 [低][w] 3820 [低][w] 3821 [高][w] 3841 [中][w] 3851 [中][w] 3852 [中][w] 3854 [中][w] 3886 [低][w] 3887 [中][w] 3888 [中][w] 3890 [中][w] 3769 [高][w] 3770 [高][w] 3775 [中][w] 3776 [中][w] 3777 [中][w] 3779 [高][w] 3781 [高][w] 3782 [高][w] 3783 [高][w] 3785 [高][w] 3786 [高][w] 3790 [高][w] 3791 [高][w] 3824 [高][w] 3827 [严重] [w] 3835 [高][w] 3845 [高][w] 3849 [中][w] 3834 [高][w] 3838 [中][w] 3839 [中][w] 3843 [低][w] 3857 [中][w] 3825 [中][w] 3837 [高][w] 3844 [严重] [w] 3856 [中][w] 3714 [低][w] 3738 [高][w] 3788 [低][w] 3789 [严重] [w] 3864 [低][w] 3872 [高][w] 3873 [中][w] 3874 [中][w] 3875 [中][w] 3754 [高][w] 3796 [高][w] 3801 [低][w] 3866 [严重] [w] 3867 [严重] [w] 3868 [严重] [w] 3880 [低][w] 3881 [高][w] 3853 [中][w] 3858 [中][w] 3765 [中][w] 3787 [低][w] 3694 [中][w] 3693 [低][w] 3740 [严重] [w] 3741 [高][w] 3755 [高][w] 3758 [高][w] 3773 [低][w] 3774 [严重] [w] 3876 [中][w] 3756 [高][w] 3692 [中][w] 3696 [中][w] 3713 [高][w] 3699 [低][w] 3716 [高][w] 3717 [低][w] 3736 [中][w] 3721 [中][w] 3737 [中][w] 3742 [高][w] 3743 [低][w] 3744 [低][w] 3745 [高][w] 3746 [高][w] 3749 [中][w] 3759 [中][w] 3778 [中][w] 3784 [高][w] 3795 [中][w] 3808 [低][w] 3812 [低][w] 3840 [低][w] 3855 [低][w] 3859 [中][w] 3860 [低][w] 3862 [严重] [w] 3865 [严重] [w] 3863 [低][w] 3871 [高][w] 3879 [低][w] 3883 [低][w] 3889 [中][w] 3766 [无][M] 3807 [中][M] 3813 [严重] [M] 3815 [严重] [M] 3836 [高][M] 3882 [低][M] 3727 [中][P]
3728 [中][P]
3734 [严重][P] 3735 [严重][P] 3753 [严重] [P] 3780 [严重] [P] 3848 [高][P] 3861 [中][P] 3729 [中][P] 3700 [中][P] 3709 [中][P] 3711 [低][P] 3712 [低][P] 3757 [严重] [S] 3822 [中][S] 3823 [严重] [S] | 360某站储存xss 360某站反射xss 360某站反射xss 360某站UNION QUERY注射 360某站反射xss 360某站反射xss 360某系统越权删除咨询漏洞 360某站越权访问+修改团队财务记录 奇酷某处泄露用户手机号码 360某站反射xss 360某站越权修改比赛记录 360某站验证逻辑错误导致无法兑换商品 奇酷某站可修改锁定信息 360某站另一处可能泄露匿名提问者信息 360某站越权删除测试报告 360某站html注入 360某站修改锁定昵称&伪造用户 360某站某处泄露匿名回答者信息 360某站CSRF添加/修改/删除教育信息 360某站越权漏洞//归属权转移 360某新闻站点jsonp劫持漏洞 360某工具某接口可撞库 360某工具某处储存xss 奇酷某站密码重置漏洞 奇酷某站注册缺陷造成恶意注册 漏洞编号3715修复不完善可致html注入 奇酷某站配置错误导致越权访问 360某游戏站点两个后台存在爆破风险 360某游戏站点某处存在一处SSRF 360某新闻站点csrf可修改个人信息 360某新闻站点json劫持漏洞续集(可登入任意账号)#附exp 奇酷某站xss rookit 360某短信轰炸 360某新闻站点jsonp劫持#3(可登陆任意账号//杀伤力不减) 360某站越权漏洞 疑似360搜索某后台漏洞,大量敏感信息泄露 360某新闻站点越权删除稿件漏洞 360某新闻站点个体号多处储存xss 360某广告平台信息泄露+sql注入 360某站SQL注入 360某站另一处可泄露匿名回答者信息 360某站企业问答csrf修改信息 某站路径泄露 某站延迟SQL注入 某站延迟SQL注入2 360某站源代码泄露信息泄露到进入后台 360某站路径泄露2 360某站储存XSS 360某站某处可构造恶意页面 360某站XSS 360某站XSS2 360某站XSS 某监控系统泄露 360某站信息泄露 360某合作厂商信息泄露 360某合作厂商2个phpmyadmin爆破 360某站后台可爆破 360某站URL跳转 某站xss 360某站XSS 360某站可撞库(附成功案例) 360某站可撞库 360某合作厂商XSS 360某新闻站点储存XSS#1 360某新闻站点#越权修改图文稿件 360某新闻站点#越权修改视频稿件 360某站XSS 某站信息泄露打包 某站phpmyadmin可爆破 360某站URL跳转 360某站信息泄露 360某运维集成平台弱口令+sql注入+数据库泄露 360某站某活动用户信息泄露可进一步利用造成用户损失 360某站泄露大量内网地址 360某新闻站点储存XSS 某站xss 某站phpinfo 某站phpmyadmin可爆破 360某站后台可爆破 360某站文件遍历 360某站可越权查看和删除整站用户信息 360某站另一处越权可看他人姓名/地址/手机号信息 360某站app越权修改他人地址信息 360某站app设计缺陷可获取部分用户手机号/邮箱 360某站微信端一处越权修改他人收货地址 360某站某处信息泄露可获取手机号/邮箱 360某站app越权同步他人地址信息 360某站m站越权获取他人地址信息 360某站某处信息泄露可获取整站商家手机号 360DNSPAI任意账号密码重置 360DNSPAI另一个站点任意账号密码重置 360某站越权修改任意问题所属分类 360某站越权查看删除的问题和申诉他人问题 360图片某处存在SSRF漏洞 360某处存在逻辑缺陷导致全回显SSRF支持gopher协议可构建代理漫游内网 360某处存在nginx代理可直入内网 360某处存在设计缺陷导致全回显SSRF支持gopher协议影响内网 360另一处存在SSRF漏洞 某系统存在PHP Web表单哈希冲突拒绝服务漏洞 360某系统存在SSLv3存在严重设计缺陷漏洞(CVE-2014-3566) 360某系统存在PHP Web表单哈希冲突拒绝服务漏洞 360某系统存在SSLv3存在严重设计缺陷漏洞(CVE-2014-3566) 360某系统存在PHP multipart/form-data 远程DOS漏洞 www.liangyi.com ZeroClipboard Flash XSS 360某站MySQL注射 360某站文件遍历漏洞 360某站MySQL注入 360某站Jplayer Flash XSS 360 某团队账号弱口令 360某站反射型xss 360某站存在sql注入 360某站反射型xss 高明纪念中学网站存在XSS跨站脚本漏洞 淘米游戏吧存在xss存储型漏洞 超星慕课网站存在xss漏洞 中国研究生信息网存在注入漏洞 360某站CSRF 360某站 仍可CSRF 360任意URL跳转 中国移动旗下某站命令执行漏洞 复旦大学分站命令执行漏洞 金融界分站命令执行漏洞 360某站搜索处可触发反射型XSS 360某站疑似存在存储型xss 360某站可越权获取其他商户信息 360某站未对apk图标做出正确处理导致flash跨域 360某站某处注入 360某站伪造他人信息#修改任意昵称 360某站后台敏感信息未做处理 360某站一处超链插入错误 奇酷某分站敏感信息泄露 360 某站用户名修改绕过 360旗下某站点第三方系统配置不当任意用户注册致命令执行(root权限) 【wooyun】360某处ssrf漏洞可探测内网信息(附内网6379探测脚本) 遍历目录--------- 网站存在后门 360某APP某处注入 奇酷某站点第三方系统配置不当getsehll 开封中州国际饭店某站sql注入 Copyright©2005-2016 360.CN 360路由器P1之变相绕过二次验证 阿尔山旅游局后台存在弱口令 360旗下游戏一处通用sql命令执行getshell入内网 一处信息泄漏 利用360某站进行360邮箱账号任意注册,无需邮箱验证 360某站检测绕过检测任意网站 360某处XSS 奇酷某站SSRF 360某站任意跳转 忻州高中阶段教育学校招生考试管理系统 南京九轩科技siteserver漏洞 盐城某驾校官网存在sql注入漏洞和文件上传漏洞 360某站某处jsonp劫持可获取邮箱/手机/身份证号/qid等 南京某驾校SQL注入导致大量学员信息泄露 支付宝 获取手机号码 【安全情报】360内部通讯录list泄漏 360任意URL跳转 360某站存在url跳转 分站xss1 某区某区一处人力资源xss 360某站网站存在逻辑漏洞 奇酷某站用户登录验证漏洞 360某款app注入 批量Powered by DuomiCMS漏洞 360地图中查不到南海太平岛的位置 360某站某处逻辑漏洞 360某APP应用漏洞 西安某中学存在sql注入 疑似绕过360某站安全拦截 360某站遍历 360某APP缺陷 奇酷青春版锁屏绕过操作(有点鸡肋) 支付宝移动端扫码支付存在安全漏洞 360某APP卸载不了 奇酷某APP锁定手机后可绕出 360某APP出现无法连接服务器和上传失败 360某客户端设计缺陷任意注册邮箱账号注册无需验证以test360src@tencent.com邮箱为例 360某客户端设计缺陷任意注册邮箱账号注册无需验证以test360src@tencent.com邮箱为例 某个vbs脚本文件绕过360某客户端开启远程桌面加创建超级管理员账号 360某客户端不能有效的阻止和查杀vbs文件 360重装系统后漏洞 360某客户端任意js执行 某网吧软件可越过360某客户端检测 360某客户端iis版可绕过 利用360某客户端任意注册360邮箱无须邮箱验证以rdaxiatest@tencent.com为例 360某客户端跨域漏洞 360某客户端插件识别验证码的check泄露 360某客户端畸形文件扫描缺陷 tes 微信商城漏洞无限充余额 360某站HTTP.sys远程代码执行漏洞 http://www.sanyuanzhu.com.cn/news/sys_verfiles.asp?5ga3l/kb4434.html | 低 低 低 高 低 低 低 中 低 中 中 低 低 低 低 低 无 低 低 低 低 低 无 中 无 无 低 无 无 低 中 低 中 中 低 严重 高 中 高 高 低 低 低 中 中 高 低 中 无 低 低 低 低 低 低 低 低 低 低 中 低 无 无 低 高 中 中 低 低 低 无 无 无 中 中 低 无 无 低 低 高 高 低 中 中 中 中 中 无 无 中 中 中 中 高 高 高 中 低 低 低 低 中 无 高 高 无 低 高 低 高 低 无 无 无 无 中 中 无 无 无 无 低 高 低 中 无 无 低 无 低 无 无 无 无 无 高 高 无 无 无 无 无 低 低 低 低 无 低 无 无 无 低 无 无 无 低 低 低 低 无 无 无 无 无 无 无 低 无 无 无 无 无 低 无 无 无 无 无 无 无 无 中 无 中 无 无 无 无 无 无 无 | |
我们由衷地感谢wuyongjia、Alricher、exploit.py、ifelse、Ambulong、Zephyru5、SecBox.cn_tzrj、linso、DMZLab、AGL菜菜、阿J、jax777、M4sk的脑公、ScriptKiddies、珈蓝夜宇、varas_ra、旧时人 '、360U500579434、panda、wcc5261、y1ng、360U2570187231、gscld、Tr3jer_CongRong、xsser_、日大侠、(排名不分前后)等75位白帽子在7月里为360做出的贡献。谢谢你们挖洞的热情与永不熄灭的正义感,希望大家再接再厉,帮助我们修复更多产品问题,给网民提供更好的安全服务。
欢迎更多朋友们前来360SRC打榜。
360安全应急响应中心的 “月度突出贡献”奖项详情:
http://security.360.cn/News/news/id/22.html
360安全应急响应中心
微 博:@360安全应急响应中心
微 信:360安全应急响应中心
京公网安备 11000002000006号