360安全:补天白帽首获ThinkPHP官方致谢

2018 年 4 月 22 日2040

  3月末,ThinkPHP官方机构向补天平台发来致谢信,就补天漏洞响应平台的白帽子提交的严重SQL注入漏洞表示感谢。本次提交漏洞的是补天安全团队——360企业安全云影实验室。

  漏洞的发现和及时上报帮助用户避免了面临的一系列安全风险,有力提升了软件的安全水平,最终保障了全国ThinkPHP用户的网络安全。ThinkPHP官方机构对补天平台及360企业安全云影实验室给予高度评价,希望未来能够继续为软件提供长期支持,协助ThinkPHP打造更加安全的开源环境。

  据悉,这次发现的漏洞是由于框架底层在数据更新的分析处理上存在设计问题,导致某些场景下会出现严重的SQL注入漏洞。据不完全统计,漏洞涉及的版本号包括Thinkphp5.0.11~Thinkphp5.1.5。由于利用场景较多且成本较低,若被黑产利用将会造成不可估量的损失。

  360企业安全云影实验室发现漏洞以后,第一时间提交给补天漏洞响应平台,并给出缓解方案。补天平台则在完成漏洞审核后,立即联系ThinkPHP官方机构——上海顶想信息科技有限公司(TOPThink Inc.)。官方机构立即响应并于第一时间进行修复。目前,Thinkphp已经升级到5.1.8版本,用户应该及时更新,避免遭遇信息泄露的风险。

  ThinkPHP5框架是当前国内最流行的PHP框架之一,国内用户众多(大约几十万家网站),适应领域相当广泛。ThinkPHP同时也是免费开源、快速面向对象的PHP开放框架,是为了敏捷Web应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性、遵循着Apache2开源许可协议发布。

  作为360企业安全专注于网络攻防研究的安全团队,360云影实验室始终致力于挖掘软件的漏洞威胁并为厂商提供解决方案。尤其在基于网络流量的攻击检测、漏洞分析与挖掘、蜜网研究、全网资产发现研究、攻击者跟踪分析方面有深度积累和优秀经验,为企业安全的客户提供攻击发现能力和防护建议。

  

  ThinkPHP官方机构向360企业安全云影实验室发出感谢信

  此次致谢,是对补天白帽子及360云影实验室实力的肯定,具有十分重大的意义。截止目前,补天漏洞响应平台汇集4万余名白帽子,为企业发现安全漏洞26万余个,是目前国内最大的漏洞响应平台。

  3月28日在上海举办的补天白帽大会上,数千名参会者共赴白帽盛宴,专家齐聚一堂,共话网络安全建设与发展。补天平台希望携手更多的白帽子、安全专家,帮助政企机构及时发现漏洞安全隐患,从而保护全社会的网络安全。

0 0