何晶

（廣播科學研究院互聯(lián)網(wǎng)技術(shù)研究所，北京 100866）

基于W ooYun的視聽新媒體網(wǎng)站漏洞統(tǒng)計分析

何晶

（廣播科學研究院互聯(lián)網(wǎng)技術(shù)研究所，北京 100866）

漏洞庫是重要的信息安全基礎(chǔ)設(shè)施，上面保存了大量網(wǎng)站信息安全風險樣本。視聽網(wǎng)站作為重要的信息發(fā)布平臺，其信息安全性應受到極大的重視。通過對視聽網(wǎng)站在烏云漏洞庫（WooYun）中的漏洞信息進行統(tǒng)計分析，從漏洞數(shù)量、提交時間、危害等級和漏洞類型等方面進行多角度分析，發(fā)現(xiàn)其中一些共性的特點和問題，為我國視聽領(lǐng)域的信息安全發(fā)展提供建議和參考。

視聽網(wǎng)站；漏洞庫；統(tǒng)計分析；烏云漏洞庫

近年來，漏洞庫成為重要的信息收集和發(fā)布平臺，這對分析漏洞的分布、發(fā)展趨勢提供了很好的樣本空間。本文選取主要的視聽網(wǎng)站作為研究對象，通過對烏云漏洞庫（WooYun.org）中視聽節(jié)目服務網(wǎng)站各種漏洞信息進行分析和匯總，從數(shù)量、報告時間、危害等級和漏洞類型等角度，總結(jié)出一些現(xiàn)象和特征，為我國網(wǎng)絡視聽領(lǐng)域中的信息安全提供建議和參考。

1 烏云漏洞庫分析

1.1 漏洞庫簡介

漏洞庫是為更好地進行信息安全漏洞的管理及控制工作而建立的。烏云漏洞庫是一個國內(nèi)非官方的漏洞報告平臺，同國家信息安全漏洞共享平臺（China Na?tional Vulnerability Database，CNVD）、中國國家信息安全漏洞庫（China National Vulnerability Database of In?formation Security，CNNVD）和美國著名的國家漏洞數(shù)據(jù)庫（National Vulnerability Database）等漏洞庫一樣，設(shè)立的初衷是為了能夠增強互聯(lián)網(wǎng)網(wǎng)站的信息安全建設(shè)，其共同特點是數(shù)據(jù)資源豐富、漏洞描述全面詳盡。在對網(wǎng)站進行安全風險評估的過程中，漏洞作者會發(fā)現(xiàn)一些有價值的現(xiàn)象或問題，向漏洞庫進行提交，而漏洞庫根據(jù)平等、公開和中立等原則，對收到的漏洞信息進行編號、分類和評級，對外進行公布。

為了更好地呈現(xiàn)漏洞信息，筆者從漏洞的信息頁面梳理出烏云漏洞庫標識與描述方法——烏云漏洞庫元數(shù)據(jù)，如圖1所示，與中國有效管理安全漏洞的基礎(chǔ)標準GB/T 28458—2012《信息安全技術(shù)安全漏洞標識描述規(guī)范》[1]作對照。在國家標準中，安全漏洞描述項包括標識號、名稱、發(fā)布時間、發(fā)布單位、類別、等級、影響系統(tǒng)等必需的描述項，并可根據(jù)需要擴充（但不限于）相關(guān)編號、利用方法、解決方案建議、其他描述等描述項[2]。其中從重要性上來說，發(fā)布時間、類別和等級是漏洞的3個重要屬性。如表1可以看出，烏云漏洞庫元數(shù)據(jù)不僅根據(jù)標識描述規(guī)范在其他描述中添加了漏洞作者、Tags標簽、廠商回復、最新狀態(tài)、漏洞狀態(tài)、披露狀態(tài)，對必選描述項的發(fā)布時間、等級和利用方法也進行擴充，使得漏洞在描述、處理和反饋各個環(huán)節(jié)的描述更為完整。

圖1 烏云漏洞信息元數(shù)據(jù)

表1 安全漏洞標識描述與烏云漏洞庫元數(shù)據(jù)的對應關(guān)系

對于烏云漏洞庫元數(shù)據(jù)，改進的部分在于關(guān)聯(lián)信息，對應國標的相關(guān)編號部分沒有對應元數(shù)據(jù)。而且實踐中也出現(xiàn)不少相關(guān)漏洞，如缺陷編號WooYun-2012-08336和WooYun-2012-12782，同樣在survey.tudou.com/iresearch處報告Struts2命令執(zhí)行漏洞，因此為了更好地完善漏洞描述，建議增加相關(guān)漏洞等關(guān)聯(lián)信息。

1.2 視聽網(wǎng)站選取

為了簡化分析，本文只考慮獨立視頻網(wǎng)站，排除門戶旗下網(wǎng)站（騰訊視頻、搜狐視頻、新浪視頻）。根據(jù)反向鏈接數(shù)、PageRank等指標，按照網(wǎng)站價值的高低，選取優(yōu)酷、土豆、PPTV、愛奇藝、CNTV、酷6、56網(wǎng)和樂視等共8家。

2 漏洞分析

2.1 漏洞數(shù)量和確認情況分析

截至2013年12月底，如表2所示，這8家網(wǎng)站共有554項漏洞被提交，共有482項優(yōu)酷被網(wǎng)站確認，72項漏洞被忽略，整體確認率達到87%。

表2 各視聽網(wǎng)站漏洞數(shù)量匯總（提交日期截至2013年12月31日）

對于72個忽略漏洞處理，分為幾個不同情況，除了網(wǎng)站無回應無法分析忽略原因，54%的忽略漏洞被烏云追加Rank，這些漏洞平均Rank達到了5.88，這說明有很多低危害性的漏洞被網(wǎng)站選擇性忽略。著名的TJX信息泄露事件，2006年美國零售業(yè)巨頭TJX公司遭到黑客攻擊，導致9 400萬張信用卡和借記卡被盜。可以看出，攻擊者會從不起眼的漏洞開始，繞過任何看似堅不可摧的網(wǎng)絡隔離，最后幾乎完全攻破關(guān)鍵性運營設(shè)備[3]。還有超過10%的忽略漏洞是由于漏洞作者提交的漏洞信息不全或提交對象與漏洞屬主不符導致漏洞被忽略，這說明漏洞作者在信息收集階段做的工作還不太到位。此外漏洞被忽略的情況還有網(wǎng)站認為問題不大、網(wǎng)站誤操作和被白帽子（信息安全領(lǐng)域的安全研究人員，如漏洞作者和烏云網(wǎng)站的注冊用戶）發(fā)現(xiàn)網(wǎng)站自行修復。其中網(wǎng)站誤操作和被白帽子發(fā)現(xiàn)網(wǎng)站自行修復對漏洞作者的積極性影響較大，建議網(wǎng)站能認真對待。忽略漏洞的處理情況如圖2所示。

圖2 忽略漏洞的處理情況

因此，視聽網(wǎng)站應繼續(xù)保持較高的漏洞確認率，但還要對低危害漏洞予以積極確認，而漏洞作者應準確描述漏洞，便于網(wǎng)站漏洞處置。

2.2 漏洞危害等級分析

漏洞的危害等級是漏洞屬性的重要因素之一，根據(jù)漏洞評估結(jié)果的多樣性，可以將漏洞評價技術(shù)劃分為“定性評級”和“定量評分”。所謂定性評級即根據(jù)漏洞威脅評估要素，給漏洞確定一個威脅等級；定量評分則根據(jù)既定的評分因素，給漏洞一個確定的威脅分值[4]。烏云的漏洞等級評價系統(tǒng)采用了“定性評級”和“定量評分”雙重評價的方法。其中“定性評級”分為高、中、低3個級別；“定量評分”，定義為1～20之間的任意整數(shù)的Rank值。相比采用定性定量相關(guān)聯(lián)（CVSSSeverity）的美國國家漏洞庫，烏云沒有給出評分分值與定性評級的對應關(guān)系。此外烏云又允許漏洞作者、廠商和烏云追加三個評價角色，這樣一個漏洞出現(xiàn)了4個評價結(jié)果：自評危害等級、自評Rank、網(wǎng)站評價危害等級和網(wǎng)站評價Rank（包含烏云追加）。這種做法既綜合了定性評級的直觀以及定量評分的客觀，又不偏向漏洞作者和廠商任何一方，做到直觀、客觀和中立，但犧牲了一定的評價結(jié)果簡單性。

本文為了統(tǒng)計方便，將危害等級根據(jù)低中高映射成1分、2分、3分。若網(wǎng)站忽略漏洞，則無網(wǎng)站評價危害等級和評價Rank。若網(wǎng)站忽略漏洞但烏云補評定沒有危害等級，則只計入網(wǎng)站評價Rank，這里網(wǎng)站明確說明誤操作的除外。

對各家漏洞等級進行統(tǒng)計，如表3所示，不論是危害等級還是Rank，平均來看漏洞作者自評比網(wǎng)站評價高，但沒有出現(xiàn)NVD中等級為“高”的漏洞所占比例過高的現(xiàn)象[5]?；揪S持在中級別（平均分2.23和2.17）和Rank為10（11.29和9.99）的平均線附近。這說明不論是漏洞作者還是網(wǎng)站，兩方均認為目前整體的漏洞危害程度沒有達到非常嚴重的階段。而且網(wǎng)站對自身漏洞危害等級和Rank值的方差均比漏洞作者設(shè)定的差異要大，說明和漏洞作者群體相比，網(wǎng)站安全人員對漏洞的危害性評估會結(jié)合業(yè)務危害性情況給出不同結(jié)果，而筆者可以認為漏洞作者的自評對于漏洞的技術(shù)危害性評定較為統(tǒng)一。

表3 漏洞危害等級統(tǒng)計表

此外，危害等級比漏洞作者自評要高的5家網(wǎng)站（優(yōu)酷、土豆、CNTV、56網(wǎng)和樂視）的漏洞數(shù)量占比75%。盡管Rank平均值網(wǎng)站明顯低于漏洞作者自評，但是給出Rank高于漏洞作者的3家網(wǎng)站（優(yōu)酷、CNTV和樂視）的漏洞數(shù)量占比也達到了50%。說明通常漏洞作者收到的漏洞評價與自身預期不一致，會相應影響提交漏洞的積極性，因此為了能促進漏洞作者積極提交漏洞，視聽網(wǎng)站還應積極想辦法。

烏云的危害等級評定采用漏洞作者、網(wǎng)站和烏云追加三個角色，結(jié)合“定性評級”、“定量評分”雙重評價方法，在犧牲了簡單性的基礎(chǔ)上努力做到直觀、客觀和中立。漏洞作者和網(wǎng)站均認為當前的安全形勢沒有達到非常嚴重的階段。此外網(wǎng)站的評價會影響漏洞作者提交漏洞的積極性。

2.3 漏洞提交時間分析

漏洞的提交時間是漏洞屬性的重要屬性之一，本部分對漏洞的提交時間屬性進行統(tǒng)計分析。

圖3是8家視聽新媒體網(wǎng)站收到的漏洞作者提交漏洞的數(shù)量月度走勢。可以看出，提交漏洞的總數(shù)量在波動中呈不斷上升趨勢，而且分為起始階段和穩(wěn)定階段，具體劃分方法為每月穩(wěn)定提交10個漏洞及以上，大致時間節(jié)點在2012年2月前后。進一步分析，如圖4所示，漏洞提交月均數(shù)量進行統(tǒng)計，可看出提交漏洞的時間出現(xiàn)明顯波峰波谷。波峰如6、7、9、10和11月，月均提交的漏洞數(shù)量超過20個，高于其他月份，這些對今后漏洞趨勢預測起到一定的借鑒作用。

圖3 漏洞提交數(shù)量月度走勢圖

圖4 漏洞提交數(shù)量月均統(tǒng)計圖

從單個視聽網(wǎng)站的收到漏洞月度走勢圖進行進一步分析，如圖5所示。重點在于長時間（大于等于6個月）沒有漏洞報告和漏洞高發(fā)月份（單個網(wǎng)站單月收到超過10個漏洞）的情況。

圖5 單個視聽網(wǎng)站的收到漏洞月度走勢圖

這8家中，愛奇藝、CNTV和酷6長時間沒有漏洞報告的情況。具體分析，愛奇藝和CNTV位于起始階段，而酷6在穩(wěn)定階段?？衫斫鉃閻燮嫠嚭虲NTV開始有漏洞作者偶然發(fā)現(xiàn)漏洞并提交，后面不斷有漏洞作者提交漏洞。而2012年7—9月一段時間內(nèi)提交的漏洞被忽略后，白帽子長達9個月沒有提交酷6的漏洞，長時間無漏洞和之前忽略漏洞呈現(xiàn)出一定的相關(guān)性，而且在當時白帽子評論中表示不滿意該網(wǎng)站的安全響應機制，這對網(wǎng)站的信息安全風險的發(fā)現(xiàn)和處置產(chǎn)生了一定的影響。

結(jié)合圖3和圖5，漏洞高發(fā)月份的原因主要是單個網(wǎng)站的提交漏洞數(shù)量明顯升高，如2012年9月，PPTV和樂視各收到18個和11個漏洞，兩家共占當月85%，2013年7月優(yōu)酷和土豆分別收到15個和11個，兩家共占當月53%。進行進一步分析后發(fā)現(xiàn)，同類型漏洞的大面積爆發(fā)（如SQL注射漏洞、弱口令、命令執(zhí)行）和漏洞作者的集中提交（PPTV 2012年9月）都可能會導致高發(fā)月份的出現(xiàn)。

因此，從提交時間屬性分析，越來越多的視聽網(wǎng)站漏洞被提交，希望網(wǎng)站的安全人員，特別是在高發(fā)月份段注意及時響應漏洞。此外同類型漏洞大面積爆發(fā)和漏洞作者集中提交這兩個原因都有可能導致漏洞高發(fā)月份的出現(xiàn)，從客觀條件和主觀條件兩方面都應注意。

各個網(wǎng)站漏洞高發(fā)月份成因如表4所示。

表4 各個網(wǎng)站漏洞高發(fā)月份成因

2.4 漏洞類型分析

類型也是漏洞的重要屬性之一，烏云定義了6個大類型，29個小類型，視聽網(wǎng)站至少報告了24種小類型。不同于《信息安全事件分類分級》國家標準中按事件行為將事件分成有害程序事件、網(wǎng)絡攻擊事件、信息破壞事件和信息內(nèi)容安全事件等[6]，烏云是按基礎(chǔ)架構(gòu)、系統(tǒng)運維、應用程序、業(yè)務安全和安全事件等漏洞所處層次分成大類，再按技術(shù)描述細分小類型，會出現(xiàn)大類型不同小類型近似的問題。如敏感信息泄露、重要敏感信息泄露、網(wǎng)絡敏感信息泄露3個類型實際上同屬敏感信息泄露，服務弱口令和后臺弱口令同為弱口令。為了更好說明問題，本文將按技術(shù)因素重新合并后形成17個類型，如圖6所示。

圖6 視聽網(wǎng)站漏洞類型分布圖

可見SQL注入、XSS、命令執(zhí)行和敏感信息泄露等傳統(tǒng)漏洞占比64%，依然是主流問題。未授權(quán)訪問/權(quán)限繞過、弱口令等賬戶管理漏洞占比17%，仍是很大的問題，特別是視聽新媒體重要的專用系統(tǒng)，如樂視3個視頻編碼器后臺弱口令高危害等級漏洞（缺陷編號WooYun-2013-43662，WooYun-2013-41663，WooYun-2013-41576），說明漏洞作者已開始對視聽新媒體技術(shù)系統(tǒng)的業(yè)務安全重要性有一定的了解。此外由于配置問題導致的系統(tǒng)/服務運維配置不當、應用配置錯誤、系統(tǒng)/服務補丁不及時等配置問題占比9%，也暴露出網(wǎng)站運維過程管理的問題。通過評論也可以發(fā)現(xiàn)，一些漏洞的出現(xiàn)與系統(tǒng)的上線、更新有關(guān)。

結(jié)合之前提交日期中對高發(fā)月份的漏洞類型分析，確定漏洞的主要技術(shù)問題集中在傳統(tǒng)的Web安全漏洞、賬戶和配置管理問題。

3 總結(jié)與展望

通過本文的分析發(fā)現(xiàn)，視聽新媒體網(wǎng)站收到漏洞的數(shù)量在不斷增長，這說明該領(lǐng)域的安全形勢依然很嚴峻。漏洞類型方面應注意傳統(tǒng)漏洞、賬戶和配置管理問題，這需要在運維管理中加強安全方面的管理。此外希望網(wǎng)站能及時響應漏洞，認可漏洞作者的辛勤工作，提高漏洞作者的積極性。當然，相比上萬條的通用漏洞信息庫，本文分析的五百余條漏洞樣本數(shù)量尚不足以說明對通用漏洞庫上述分析是否有效。此外漏洞提交與響應時間的關(guān)系、漏洞作者的技術(shù)偏好、漏洞的Tag信息等方面還有待做進一步的分析。

[1]劉奇旭，張玉清，宮亞峰，等.安全漏洞標識與描述規(guī)范的研究[J].信息網(wǎng)絡安全，2011（7）：4-6.

[2] 中國國家標準化管理委員會.GB/T 28458—2012，信息安全技術(shù)安全漏洞標識與描述規(guī)范[S].北京：中國標準出版社，2012.

[3]ZALEWSKIM.Web之困現(xiàn)代Web應用安全指南[M].朱筱丹，譯.北京：機械工業(yè)出版社，2013.

[4]劉奇旭，張翀斌，張玉清，等.安全漏洞等級劃分關(guān)鍵技術(shù)研究[J].通信學報，2012，33（S1）：79-87.

[5] JONES J.CVSS severity analysis 2008[EB/OL].[2014-01-27]. http∶//first.org/cvss/jones-jeff-slides.pdf.

[6] 中國國家標準化管理委員會.GB/Z 20986—2007，信息安全技術(shù) 信息安全事件分類分級指南[S].北京：中國標準出版社，2007.

Statistical Analysis of Audiovisual Newmedia W ebsite Vulnerability Based on W ooYun Vulnerability Database

HE Jing
（Academy of Broadcasting Science Internet Technology Institute,Beijing 100866,China）

Vulnerability database is an important information security infrastructure,it holds a large number of various types web security vulnerability.Audiovisual website as an important platform for information prorogation,the security should be of pay attention to.This paper is based on the WooYun vulnerability database for statistical analysis,through multi-angle analysis from the number of vulnerabilities,from reporting time,the degree of harm and vulnerability types, etc.,and try to find some common problems.And it indicates some useful&interesting advice and information in the field of audiovisual website security.

audiovisual website;vulnerability database;statistical analysis;WooYun

TN948

A

??健男

2014-02-27

【本文獻信息】何晶.基于WooYun的視聽新媒體網(wǎng)站漏洞統(tǒng)計分析[J].電視技術(shù)，2014，38（16）.