亲爱的用户,您关注的8月月度榜单今日揭榜,请谨慎阅读。
久等了!8月榜单出炉,SRC全面改版,不知道大家有没有探索到好玩的功能?比如QTA,比如实验室,比如名人堂……
后续360SRC的工作重心将转移到对白帽子的荣誉体系维护上,希望我们能为各位白帽子们提供最优秀的服务!请大家大力关注360SRC的微信公众号,我们将会陆续对新官网的每一个新功能进行专题性的介绍。本月漏洞质量延续上月的走高,发放的奖金隐隐有超越上个月的趋势!这个月的热潮又是由哪些英雄缔造的呢?让我们一起揭榜!
2016年8月“月度突出贡献”白帽子获奖名单
| 类型 | 排名 | 获奖者 | 奖金 |
| web端 | 一等奖 | y1ng | 5000 |
| 二等奖 | 开黑吗?我玩源氏 | 3000 | |
| 三等奖 | scanf | 1000 | |
| 移动端 | 一等奖 | 空缺 | 5000 |
| 二等奖 | 空缺 | 3000 | |
| 三等奖 | Mr.李博士 | 1000 |
八月里,360安全应急响应中心共收到158个漏洞,其中93个有效漏洞;漏洞详情为web端漏洞114个,移动端漏洞15个,PC端漏洞14个,服务器端漏洞15个。
2016年8月漏洞统计名单
| 漏洞编号 | 漏洞名称 | 威胁等级 | |
3902 [高] [w] 3903 [高] [w] 3904 [高] [w] 3905 [高] [w] 3906 [高] [w] 3907 [高] [w] 3908 [高] [w] 3909 [高] [w] 3910 [高] [w] 3911 [高] [w] 3912 [高] [w] 3913 [无] [w] 3914 [高] [w] 3915 [高] [w] 3916 [中] [w] 3917 [高] [w] 3919 [高] [w] 3920 [高] [w] 3924 [低] [w] 3925 [低] [w] 3926 [低] [w] 3927 [高] [w] 3929 [高] [w] 3941 [高] [w] 3947 [高] [w] 3948 [高] [w] 3950 [中] [w] 3963 [中] [w] 3964 [中] [w] 3966 [中] [w] 3968 [高] [w] 3970 [低] [w] 3976 [高] [w] 3982 [低] [w] 3983 [低] [w] 3984 [低] [w] 3986 [高] [w] 3997 [高] [w] 3998 [高] [w] 3999 [高] [w] 4000 [高] [w] 4001 [高] [w] 4007 [高] [w] 4008 [中] [w] 4029 [高] [w] 4033 [高] [w] 4048 [高] [w] 3824 [高] [w] 3827 [严重] [w] 3835 [高] [w] 3897 [严重] [w] 3898 [高] [w] 3899 [中] [w] 3901 [高] [w] 3937 [高] [w] 3939 [高] [w] 3969 [中] [w] 3973 [高] [w] 4009 [中] [w] 4010 [中] [w] 4019 [中] [w] 3932 [中] [w] 3938 [高] [w] 3942 [高] [w] 3972 [高] [w] 3974 [严重] [w] 3975 [严重] [w] 4011 [严重][w] 3935 [低] [w] 3936 [低] [w] 3954 [中] [w] 4022 [中] [w] 4023 [中] [w] 4024 [高] [w] 4034 [高] [w] 3928 [中] [w] 3944 [低] [w] 3945 [中] [w] 3960 [低] [w] 4005 [中] [w] 3989 [严重] [w] 4006 [高] [w] 4032 [高] [w] 3951 [严重] [w] 3952 [严重] [w] 3953 [严重] [w] 3930 [中] [w] 3940 [低] [w] 3921 [低] [w] 3922 [低] [w] 3894 [高] [w] 3895 [严重] [w] 3943 [低] [w] 4016 [无] [w] 3946 [中] [w] 4021 [中] [w] 3990 [低] [w] 4013 [中] [w] 4017 [低] [w] 4025 [低] [w] 4046 [低] [w] 4015 [高] [w] 3923 [中] [w] 3896 [严重] [w] 3933 [高] [w] 3934 [中] [w] 3956 [低] [w] 3957 [高] [w] 3959 [严重] [w] 3981 [低] [w] 4027 [低] [w] 4043 [严重] [w] 4044 [低] [w] 3918 [中] [w] 4035 [严重] [M] 4036 [严重] [M] 4037 [中] [M] 4038 [中] [M] 4039 [中] [M] 4042 [严重] [M] 4049 [高] [M] 4002 [中] [M] 4003 [中] [M] 4004 [中] [M] 4050 [中] [M] 3955 [严重] [M] 3961 [严重] [M] 4026 [低] [M] 4030 [高] [M] 3893 [中] [P] 3962 [中] [P] 3977 [高] [P] 4040 [中] [P] 4041 [中] [P] 3978 [高] [P] 3980 [高] [P] 4028 [高] [P] 3900 [严重] [P] 3979 [高] [P] 4012 [中] [P] 3987 [高] [P] 4031 [中] [P] 4047 [低] [P] 3991 [中] [S] 3992 [中] [S] 3993 [中] [S] 3994 [中] [S] 3995 [中] [S] 3996 [中] [S] 3971 [严重] [S] 3988 [严重] [S] 4018 [严重][S] 3931 [中] [S] 3949 [低] [S] 3958 [中] [S] 3967 [高] [S] 3985 [高] [S] 4045 [低] [S] | 360某站SQL注入 360某站SQL注入 360某站SQL注入3 360某站SQL注入4 360某站SQL注入 360某站SQL注入续 360某站POST注入再来一个 360某站SQL注入续 360某站继续注入 360某站SQL注入## 360某站SQL注入2个参数打包提交 360某站疑似任意文件下载漏洞 [SQL注入专场]360某站POST SQL注入 [SQL注入专场]360某站GET SQL注入 [XSS专场]360某站反射XSS [SQL注入专场]360某站GET SQL注入2 [SQL注入专场]360某站GET SQL注入3 [SQL注入专场]360某站GET SQL注入4 360某站URL跳转 360某站URL跳转2 360某站URL跳转3 360某产品及项目管理平台可爆破弱口令已进后台 360某站ssrf内网探测 360某产品及项目管理平台弱口令再次进入后台 某站储存XSS盲打后台1 某站储存XSS盲打后台2 360某站信息泄露 360某站目录遍历 360某站备份文件下载 某产品xss 360某站getshell 360某站URL跳转 疑似360某站SQL注入DBA权限 360某站URL跳转 360某站URL跳转 360某站URL跳转 360某站盲打后台 360某站客户关系管理系统后台可爆破大量弱口令 360某站SQL注入漏洞 360某站SQL注入漏洞2 360某站SQL注入漏洞3 360某站POST SQL注入漏洞4 360某站插件储存XSS可影响到第三方平台cookie 360某站插件储存XSS 360某站服务器沦陷 某站数据库泄露到后台沦陷 360某站后台弱口令 360某站某处存在SSRF漏洞 360某处存在逻辑缺陷导致全回显SSRF支持gopher协议可构建代理漫游内网 360某处存在nginx代理可直入内网 360某处设计缺陷影响多台服务器影响内网 360某处存在设计缺陷导致SSRF支持gopher协议影响内网 360某站存在部分回显SSRF漏洞 360某处存在设计缺陷导致全回显SSRF影响内网 360某处修复不当导致绕过限制直入内网 360某系统存在SSRF root权限读取任意文件支持gopher协议 360某站存在SSRF漏洞 360某处存在设计缺陷导致全回显SSRF 360某处存在SSRF漏洞 360某处存在SSRF漏洞 360某站某处存在部分回显SSRF漏洞 360某处sql报错注入 360两处ssrf 360某处sql报错注入+ASP.NET Padding Oracle Vulnerability 360某站多处问题 360某处GM管理后台sql注入 360某站存在注入 360某站某处getshell 360某站信息泄露 360某站路径信息泄露 360某站暴力破解 某站暴力破解&ddos 360某站 ssrf 360某站支持gopher 360某站支持gopher 360某APP存储XSS 【安全情报】360某域名跳转(疑似被入侵) 奇酷某站存在撞库风险 360一处URL跳转 【安全情报】360某站假冒网站 360某系统zabbix sql注入可拿下后台 360某站任意手机号短信轰炸 奇酷某云存储泄漏以及疑似中马 路由器管理界面jquery版本过低 路由器发起slowhttp攻击,可导致拒绝服务 路由器固件的dns 360某站某处越权泄露财务信息 360某站反射xss 360某处源代码泄漏 360某处源代码泄漏 360某收购平台两个员工邮箱弱口令 360某收购平台两个员工邮箱弱口令2 tenda路由器设置页面漏洞 http://www.js-hengsheng.com 360某站反射XSS 360某站信息泄露 360某站phpinfo信息泄露 360某站一处敏感信息泄露 360某站内部信息泄漏 360某站Jplayer Flash XSS 某站越权访问 360某站某系统漏洞,可泄露他人信息 美泊停车代金券漏洞(免费拿团购88元停车券) 利用工具 360某APP任意邮件伪造漏洞 360某APP某处注入 360安全路由器P1配置信息非授权访问 360某站 未授权访问 360某站官网优惠码太简单 新疆闽商投资有限公司 存在AspCms 漏洞 360 某服务存在XSS漏洞 成都财贸职业中学官网后台注入漏洞 IE11文本框无法正常输入 360旗下某产品邮箱可爆破 360某站远程代码越权攻击和本地越权攻击 360某站越权分享以及分享内容可控造成恶意钓鱼 360某站远程拒绝服务以及本地拒绝服务 360某站拒绝服务2 360某站拒绝服务3 6处一起提交 360某站自升级无校验导致中间人中马 360某站手势密码明文存储导致泄漏 小米浏览器内核漏洞 猎豹浏览器内核漏洞 欧朋浏览器内核漏洞 360某APP任意下载 360某APP客户端 360某APP可伪造网址欺骗用户 360某APPBUG 360某客户端 Spoof漏洞 360某客户端一句话拦截可绕过 360某客户端SQL注入防御规则绕过 360某客户端SQL注入防御规则绕过(致命缺陷) 360某客户端缺陷及地址栏欺骗漏洞 360某客户端缺陷及地址栏欺骗漏洞 一个lnk下载任意文件到启动目录过无提示 360某客户端跳出沙盒 360某客户端跳出沙盒 360某客户端绕过 360某客户端某类型病毒 客户端代码执行漏洞 360某客户端任意网站伪造 不知道 是不是漏洞? target=_blank漏洞导致打开页面可以控制原页面跳转 360某系统存在PHP multipart/form-data 远程DOS漏洞 360某系统存在PHP multipart/form-data 远程DOS漏洞 360某系统存在PHP multipart/form-data 远程DOS漏洞 360某系统存在PHP multipart/form-data 远程DOS漏洞 360某系统存在PHP multipart/form-data 远程DOS漏洞 360某系统存在PHP multipart/form-data 远程DOS漏洞 360某些问题打包sql+多处getshell 360某处命令执行ROOT权限 360某处配置不当导致镜像泄漏 360多站存在poodle漏洞 SPF配置错误--邮箱可伪造 360安全路由器P1可在内网被DOS攻击 360某服务器目录遍历漏洞 360某站心脏滴血漏洞 360某站token错误 | 高 高 高 高 高 高 高 高 高 高 高 无 高 高 中 高 高 高 低 低 低 高 中 无 中 中 低 低 中 低 中 低 无 低 低 低 中 无 无 无 无 无 低 低 无 高 低 中 高 高 中 中 中 高 高 高 中 高 中 中 中 高 中 无 中 无 中 严重 无 低 中 低 中 高 高 中 无 低 无 低 无 中 无 无 无 无 无 低 无 无 无 无 无 无 低 低 低 低 低 低 低 无 无 无 无 无 无 无 无 无 无 无 无 无 无 低 低 低 低 低 中 无 无 无 无 无 无 无 无 中 低 低 无 无 高 高 高 低 无 无 无 无 无 无 无 无 无 无 无 严重 严重 严重 低 低 无 无 无 无 | |
我们由衷地感谢M、SecBox.CN_蓝方、旧时人@SAINTSEC、Snail、Martin、被和谐的骨哥、Hacker、LoveAngel小爱、exploit.py、me1ody、Tr3jer_CongRong、360U2642694782(排名不分前后)等52位白帽子在8月里为360做出的贡献。谢谢你们挖洞的热情与永不熄灭的正义感,希望大家再接再厉,帮助我们修复更多产品问题,给网民提供更好的安全服务。
欢迎更多朋友们前来360SRC打榜。
360安全应急响应中心的 “月度突出贡献”奖项详情:
http://security.360.cn/News/news/id/22.html
360安全应急响应中心
微 博:@360安全应急响应中心
微 信:360安全应急响应中心
京公网安备 11000002000006号