360赵武谈库带计划与白帽子产业

个人简介 赵武是360网站安全检测部门总监，现负责360网站安全检测(webscan.360.cn)和360网站卫士(wangzhan.360.cn)两个产品。原诺赛科技NOSEC创始人，安全软件Pangolin、JSky作者。 2005年从湖南湘潭大学信息工程学院毕业，供职华为技术有限公司全球安全实验室，任项目经理。2009年创办了诺赛科技NOSEC，从事网站安全相关产品研发，其中Pangolin作为SQL注入工具广为人知，当时的iiScan也是全球首款免费的在线网站安全扫描平台。2011年诺赛科技被360收购时，360成立了专门的网站安全部门，专注于为国内互联网提供免费的专业的网站安全监测和防护服务。他的微博地址：@赵武360。

QCon是由InfoQ主办的全球顶级技术盛会，每年在伦敦、北京、东京、纽约、圣保罗、杭州、旧金山召开。自2007年3月份首次举办以来，已经有包括传统制造、金融、电信、互联网、航空航天等领域的近万名架构师、项目经理、团队领导者和高级开发人员参加过QCon大会。

   

1. 今天我们有幸邀请到了360的赵武和袁伟两位朋友过来参加我们这个活动。我想问赵武一个问题，咱们360网站为什么免费把功能升级，升级之后都提供哪些核心功能，与市场上的同类产品都有哪些区别？

赵武：我简单介绍一下。网站卫士前段时间刚好升级改版了，目前总共具备几个功能，第一个是传统的流量DDoS攻击，第二个是随时准备的防护，攻击防护，然后还有就是应用层的，有SQL注入，发散，脱库的防护。再就是报表功能，再就是访问加速，我们会给提供了十个节点的访问加速，给中小站长提供加速，这是几个最主要的。那接着呢，我们就升级以后跟其他的竞争对手来比，有这么几个区别，第一个是我们的资源足够大，我们的防护能力比较强，比方说我有两百G的一个防护；再有就是，目前对网站的限制比较少，比如说流量是我们没有要求的，请求多少流量，过多的流量我们没有要求，防护能力上面目前来说是共享一百G的防护，独享十G的防护。

   

2. 你刚才说到了一个防脱库，一般来说安全公司不会说我有防脱库功能。你能解释一下，咱们这个防脱库是怎么防的？

赵武：脱库简单来说，无外乎几种，第一种就是应用型的攻击，比方说注入；第二个就是，拿到一些弱口令，或者通过部署一些后门，去把那个信息给dump下来，这个过程中我们会提供一些应用层上面的防护，比如说攻击者会尝试通过SQL注入来获取一些信息，我们会及时把这个连接给中断，就提示他一个框，说，你遇到了应用型的攻击。第二个，我们会有一个工作叫做后门识别，因为他是一个代理，但凡有这个通过一句话后门，类似菜刀之类工具来连接的时候，我们也会对他做一个识别，就告诉他这个连接也中断了。

   

3. 咱们能识别他的Web shell？

赵武：对，我们能识别他的Web shell。
InfoQ：其实是一句话？
赵武：其实是一句话的。

   

4. 如果我要编码变了？

赵武：没问题，无论你是否变形，在网页上最终退出的时候会有一个展示，那举个例子来说，第一个菜刀，这个一句话后门，它是一个很典型的输出特征的，所以我们会识别，在输入上面它没编码，输入上我们就拦截了，如果他有一个编码传质来做一个及时获取，最简单的，他会一个列目录，列目录的功能，我们看一些特殊的情况也会做一个告知，给用户去输出。

   

5. 咱们这里面有一个流量双向清除过，就是流入跟流出各有？

赵武：在后门这方面是最典型的，就我们针对有些网站备份被篡改，还有放在后门，一般情况下，绝大部分是针对输入做一个过滤就行了，但是我们对输入输出也会做一个封装，比如他有被挂马、挂一些反动言论，还有一些后门特征的，我们也会对他做一个过滤。

   

6. 360网站卫士的漏洞数据哪里来的，可以分享？

赵武：前一段时间，就是3月份，我们刚刚上线了一个叫做库带计划，就是数据库的库，带子的带，意义就是说，让你勒紧裤腰带，不要被人脱库了，这是这个里边这个含义，其实我们之前对数据是库带之前，对漏洞的收集有几方面，第一方面是跟一些黑客做一些合作，他们是白帽子，一些0day，他会给我们提供；再有就是，我们会跟一些相关的这个漏洞平台去合作，再有一方面就是我们会自己去挖，举个例子，二三月份，我们发了几个重要的像ECShop的这种高危的0day，注入的高危0day，我们会自己挖掘并通知厂商，这是之前的做法。但是后面我们发现这个黑客，或者说白帽子，相对我们的厂商来说，它的数据是不成正比的，因为白帽子，像我们自己做，经常比喻是一个人，但是黑客，它的白帽子圈很大一个基数，民间力量是无穷的，所以我们就想能不能说，模仿国外一个叫ZDI的平台。

   

7. TippingPoint的？

赵武：对。他们本身就是这个付费收漏洞，最开始也是一个平台，现在很权威，比较成功的，那现在我们开始，也是以360的名义，付费给中国的白帽子，让他们去有偿的去提供漏洞给我们，这是我们的一个漏洞来源。有个数据我分享一下，去年我们一年时间总共收到102个，那到后面，我们上线到现在一个月，我们收入的0day已经超过一百多个，这说明我们当时的策略是对的，确实民间有很多的第三方的厂商的0day。而中国这个数据，也可以补充一下。中国目前我们统计，已经超过54%的网站是基于开源项目去搭建的，这个过程我们刚好可以给他做一个报警也好，信息通讯也好，这么一个情况。

   

8. 我昨天看了360的那个，我们报警就特别吓人，说你的攻击行动，我们都已经知晓，报给了谁，能简单讲一下它这个是一个什么样的一个机制吗？

赵武：现在已经改版了，现在去试就不是那种了，他已经改得页面更友好一点，不那么吓人了，这是一个改进，其实实施的技术又相当于比较简单，因为网站为什么，简单介绍它的原理，它就是说，基于一个反向代理的模式，以前的用户可能攻击者他这个网站，你是攻击者，你们直接使用他，对他是一个攻击，现在我是他一个代理，你所有对他的访问，我们通过DNS的请求解析，都到我这儿来。

   

9. 就有什么都冲你来？

赵武：冲我来，我是一个类似防火墙，但是不需要他去部署任何的防火墙，我是一个线上云服务的模式，你过来的流量如果是正常的，我就转化给他，把他的响应再给你，这个流量就OK了，但如果是异常的，就类似于你尝试做SQL注入的这种情况下，我就会把你咔碴掉，这种客户就不会请求它了，但是我直接把我预定好的一个攻击的页面展示给你，就变成了你不要再来攻击了，我们会把你的IP数据和攻击的数据都拷下来作为一个司法上的证据，是这样。

   

10. 那如果我没有在经过你之前已经有一个木马传到他那个服务器上？

赵武：这就刚才我回答之前我们有一个功能叫做后门拦截，你在这之前装了一句话，之前的我已经管不了了，他已经被入侵了，但是只要他接入到我这，你不连接，我也不知道，必须有一个实时的请求我才能知道，但是你一旦连接过来，交互连接，我发现这有一句话的后门，我就把它咔碴掉了，咔碴掉了之后，我们会立刻通知站长说你的网站是有后门，赶紧把它清除，你再来对这个URL的请求我就把它拦截掉。

   

11. 会发邮件还是发短信？

赵武：都可以，就比方说，第一，邮件我们是肯定会通知，我们现在的告警有几个，第一个是邮件，但凡使用我们业务，你必须留个邮箱，否则我们有些通知是没法推送给你的，第二个，我们有一个免费一个月有三十条的这么一个短信报警的名额，30，有三十条，这个过程，一旦发现异常，包括你的网站宕机了，你的网站被攻击了，我们会第一时间通过短信的形式push到你的手机上。

   

12. Google之前给站长开放了一个叫Google Speed的模块，加速，我看最近咱们360网站卫士也开放了API，这个主要做什么用？

赵武：先简单解释下我们的API，我们之前也发现一个事情，就是我们从漏洞的发现，告诉用户，包括漏洞的修复也告诉用户，这个过程中就有个信息我们发现，绝大部分站长会聚集在一些像IDC，域名注册商，这些他们手上，这个信息我们根本还没普及到他们这个中小型的网站上面去，但是我是觉得这个业务是对他们能产生直接的一个价值的，这个过程中我又没法一家一家的控制，怎么办呢？我们就想，能不能通过一个API的形式，去让更多的站长去了解这个业务，必须接入这个义务，举个例子来说，比如你是在万网注册的一个服务，如果你要用我的服务，你肯定要第一在万网上去改一个DNS。

   

13. 连到你的服务器？

赵武：对，你要先到万网改一次，再到360改一次，那你改的工作量就比较大，而且你可能不知道怎么改，或者改错都有可能，如果这个操作成本比较高，用户可能不知道，他就也用不了这个服务，那这个过程，我们提供API以后，我们可以给一个更好的用户体验，这也是360一惯的文化，就比如说我把API放在你那来，用户在注册这个服务，或者是做业务操作的时候，他能不能一个简单的勾选，我起用安全防护服务，一旦他勾选过来以后，它就能够使用的业务，这是当时一个初衷，所以我们就开发一些API，API可以给这些IDC服务商，域名注册服务商，还有一些建站公司，给他们提供这么一个接口，那这个用户就只能在一个界面，就能把这个整个流程就走通了，这是我们开发API的一个目的。

   

14. 这个还不是直接给站长？先给那些注册单位，什么应用中心用，然后站长再去用现成的？

赵武：对站长的成本要求就很低，这是一个。所以再回过头来，第二个问题说那个Google开发Speed这个模块，这跟我们还有一点区别，现在识别的模块现在在我们的网站卫士服务里面，已经直接集成了，就类似说，用户，因为我们是反向代理，用户的网站原本他不需要做任何配置的，但是我们来，我们直接给访问者，如果他的客户端支持这种协议，那我们就直接给他推送这种Speed服务了。

   

15. 直接做到云端？咱们现在360网站卫士的用户量有些什么样的规模？

赵武：现在来说我们有两块产品，一个网站安全，我们现在是，一个是网站安全检测，就告诉你哪里有问题，第二个是网站卫士告诉你怎么去防护问题，帮助你解决问题，网站卫士目前来说是有超过一百万的网站，已经超过一百万的用户量，因为这个网站安全检测他使用的没有任何的前提条件，也是网站卫士需要备案，或者是一个有备案的前提，也是一些网站如果违法了，这个不合法理的运营网站，我们不接入的。但是扫描这块我就不管了，因为扫描，不管你是好人坏人，我都可以给你提供一个尖端的服务，所以是这个，所以我们的网站安全检测是大概有一百万的这么一个量级，然后在网站卫士说目前是超过两万这个根域名，在我们的提供服务。

   

16. 像咱们这两个产品之间有打开的通路，比如说我扫完之后，还有漏洞，立马就用了，那网站的主流架构也做防护现在打通了吗？

袁伟：现在我们还没有打通。

   

17. 未来会有这样的计划吗？

赵武：有考虑过，简单来说，限制我们这个目的也有几个，就刚才我提到一个备案它是一个问题，还有一个问题就说刚才，比方说你这个做得是类似私服，但它也有备案，那我扫，但是我不会帮你防，这是私服弄的东西，所以目前还没有打通，但后面我们可以做一个数据筛选，比如说，正在做尝试，你这个网站，又有备案，又是正规的，电商这种网站，我有一个通道是让你直接过来的，目前在做尝试，下一步应该可以看到。

   

18. 现在咱们提供的还是那个免费的版本，以后会不会有收费的版本，会增加什么功能？如果将来收费会加哪些功能？

袁伟：现在是这样的，我们的市场策略是免费，是指我们的安全产品，安全防护这块是会一直免费下去的，继续我们的一个战略计划，那么未来的话，有可能会考虑一些增值的业务会收费，但是呢，我们现在也在摸索中。

   

19. 你大概给我们展望一下？

袁伟：这样的，我们了解到很多站长，他不仅仅有安全的需求，他可能也会有一些加速等等的需求。我们大家都知道，安全方面可以免费，但是他可能对加速等等这些方向有一些特别的需求，是升级的一个小点，可能会去做一些收费的尝试，但是目前来说，我们安全防护也好，加速也好，都是对用户纯免费的，那么用户都可以来使用和尝试。

赵武：这里我补充一下，其实我们的想法也特别简单，因为360是一个安全公司，但360在安全本身没有做任何的收费，我们可以看到，因为360走着有自己的一个商务模型的体系，它通过安全切入点，通过其他的增长工具，推给用户带去盈利，这是可行的，目前网站那块也是这么做得，就我们一直是认为什么呢？类似于流量型的防护，这个应用型的防护，应该说一个基础服务，免费给用户去提供，在这一块，我们也没打算收费，又类似于这是我们目前的真正意义上的国内唯一一家是免费的这么一个厂商，所以在基础服务免费。再有一块，用户他有很多东西，但是对他来说，可能没有资金，或者没有技术去解决的，举个例子，我刚才提到加速是一块，加速我们可以提供多节点，比方我们现在有几个节点上的CDN的服务，这是一块，但还有本身网页的层面，他也可以做一个加速的一个，举个例子，刚才讲的Speed是一个模块，那还有就是我们可以针对它的，像Script那种方式，虽然Script排版不好，会导致他加速变慢，展示页面变慢，但是它的网速很快了，这过程中我们可以简单做一个优化，把Script放到下面，把它做一个压缩和规划，打成一个文件，减少他的请求数，这也可以给他增加速度，这是一块。还有另一块，我本身也是个站长，我们在运营网站以后会发现有些很多数据我们不知道的，就包括哪个地区的访问者多，哪个地区的访问者少，哪个地区突然有个流量剧增，我们也想趋于一个大数据的挖掘，把它的用户的这个浏览信息给他可视化，就包括你的有流量突升，也有可能是业务带来的一个新的方向，但是我会给你一个展示，提示。

   

20. 它会识别我哪个服务的流量特别大吗？

赵武：你可以有很多的子域名，也可以有URL，有个提升的，我们会告诉你，流量继续下跌了我会告诉你，可能是不是哪里出故障了，或者哪些方向是对的，这是第二块。第三块就是其实很多站长他也不会，在做Web scan的时候我们也发现，我们扫描是用户验证过程，但是用户验证过程特别简单，就是你在你的网站上加一串代码，或者加一个文件，很多网站不知道怎么去操作，可能外包给一个开发商，他就外包了，交付以后，线就断了，所以他没办法去做一个操作，在这个过程中，站长他通常需要别人数据统计也好，还有一些应用功能也好，我想加一个模块也好，他其实没有这个能力，这部分，我们把它打包做一些APP的那种形式嵌入进去，就比如说，你想要加CNZZ的代码统计，那以前可能要先要到CNZZ网站上改一行代码，他才有可能去使用。现在对我们来说，到我们平台，使用卫士资源，勾选一个框，就可以提供各种服务了，这也是我们未来一个方向。所以我们尝试在这些增值服务方面有可能考虑，但短期内，还是没有。 袁伟：短期内我们还是不收费的，我们在安全方面，在防护方面我们是打算一直免费下去。

   

21. 我最近在咱们的论坛上发现了很多有白帽子接活儿的需要。如果咱们官方不收费，咱们是否会推荐白帽子在咱们这个论坛上是有些，比如说这个站长他有了那种小Bug，他需要去修复那个代码，这东西有没有这样一个机制，或者这样的？

袁伟：我们已经在做了。

赵武：刚好你刚才提到了，你可能去过那个论坛，我们当时做过一个尝试，中国有很多站长，中国站长的一个特性，是说他会知道哪些网站方向是对的，他会去赚钱，他会去运营，但是他不懂技术，不懂开发，很多不懂。但是中国又有另外一个特征，他有特别多的白帽子，很多人从事安全，因为主要是好像技术服务业的，都会对安全或多或少有一个了解，他们也可以去帮助别人，所以我们当时在论坛上尝试做了一个模块叫做悬赏漏洞修复，这样我们聚集了一些白帽子，我们对它做一个认证，技术上是OK的，人力上是OK的，做认证以后，站长一旦在扫描方面发现了问题，他也不能修，可以发起一个悬赏，让白帽子来修，我们前期做过一个统计，平均一个白帽子，一个月，当时有几个学生，会超过一千五百块的这个收入，他兼职的，修复一个就是几百块钱，一两百块钱，修，一个月，十几二十分钟的活，收入还是可观的，我们当时做了一个尝试，现在这个论坛也正在运营，现在还不错，所以后面也希望说有更多有知识的，想贡献的，或者是想要赚一些小钱的，可以到我们论坛去看一看，站长不知道修复你可能去求助，包括哪怕没有钱，你发起一种免费的这个求助，也会有人来帮你。是这样的。

袁伟：并且我们定期还会给白帽子一些礼品做奖励，因为我们会根据修复的漏洞的多少给以一个奖励，这样子的一个机制在做。

InfoQ：非常感谢两位参加咱们这个活动。