发现漏洞拿奖金，一个网名为“合肥滨湖虎子”的技术高手，最近已经通过向360网站安全检测“库带计划”报告漏洞，三个月内获得31450元的现金奖励。据悉，“库带计划”专门征集开源建站程序漏洞，用以帮助软件公司和开发者及时推出补丁，加强网站对黑客攻击“拖库”的防范能力。

根据360“库带计划”最新披露的数据，该计划发布后一季度内，共收集到的第三方开源建站程序(俗称CMS)0day漏洞816个，高危漏洞占比达到八成。被提交漏洞最多的建站程序是Discuz!、DedeCMS和PHPWind，漏洞数量分别是78个、53个和48个，它们也是目前国内网站应用最广泛的建站程序，网站用户量高达百万级。360同时表示，被提交漏洞多的CMS并不意味着不安全，而是体现出市场关注度和用户量，其中Discuz!和PHPWind、ECSHOP等都是对安全很重视并积极修复漏洞的负责仁厂商。

Discuz!等第三方开源建站程序以其简单、方便、免费，被大量应用于社区、门户、电商、教育、企业、博客等网站，其系统安全性非常重要，因为如果某个拥有大量用户的建站程序出现漏洞，就意味着所有应用此程序的网站都会被黑客轻易攻破。巨大的利益驱动也让此类大型开源CMS成了黑客重点攻击的目标，此前多网站曝出“泄密门”，上亿条用户帐号密码在网上公开，其根源就是网站被黑客利用漏洞入侵“拖库”。

为了保护网站安全，同时也为了提升360网站卫士扫描、防御漏洞的能力，360公司于今年上半年推出“库带计划”，以奖金悬赏技术高手提交漏洞。此外，漏洞报告者还可以获得积分，兑换MacBook Pro、三星Note II N7100、iPhone5等奖品。截至6月底，已有六位技术高手获得万元以上的现金奖励，漏洞奖励金额在国内各大漏洞响应平台中处于领先地位。

数据显示，在360“库带计划”上半年收集到的第三方建站程序漏洞中，SQL注入漏洞最多，占比54.7%;其次是XSS漏洞和权限绕过漏洞，占比分别为18.4%和8.1%。在漏洞危害级别统计中，高危漏洞占比高达79%。

360网站安全工程师赵武表示，随着“库带计划”的推出，大多数建站程序都能快速修复漏洞，及时推出补丁保护网站用户的数据安全。网站站长除了关注CMS官方安全更新，还可360免费的网站安全防护产品“360网站卫士”，可有效防范黑客攻击，并具备为网站访问加速等实用功能。

图：360“库带计划”征集到的建站程序漏洞数量