｜文/童斐

互聯(lián)網(wǎng)企業(yè)理應(yīng)重視安全漏洞

｜文/童斐

一般來(lái)說(shuō)大廠由于有相關(guān)的安全人員，在衡量漏洞危險(xiǎn)等級(jí)方面應(yīng)該還是挺專業(yè)的?？伤压钒踩珣?yīng)急響應(yīng)中心建立后不久，烏云上漏洞的Rank值突然降低到了0-5分的水平，而在建立之前，則一直浮動(dòng)在5-10之間。

對(duì)于互聯(lián)網(wǎng)安全漏洞，目前中國(guó)企業(yè)都越來(lái)越重視。各大企業(yè)都紛紛建立了各種SRC（漏洞報(bào)告平臺(tái)），從各個(gè)安全研究者手里“收購(gòu)”各類安全漏洞。

拿騰訊來(lái)舉例子，并以第三方互聯(lián)網(wǎng)漏洞平臺(tái)烏云上的數(shù)據(jù)來(lái)做一些說(shuō)明。烏云上騰訊的漏洞數(shù)量為1393個(gè)。其中，已忽略漏洞個(gè)數(shù)424個(gè)，已公開或已確認(rèn)狀態(tài)漏洞969個(gè)。

廠商回復(fù)：從5000字到50字

首先來(lái)看一個(gè)漏洞，500wan彩票站SQL注入可導(dǎo)致注冊(cè)信息泄露。當(dāng)然，重點(diǎn)不在漏洞本身，而是這個(gè)漏洞的廠商回復(fù)，洋洋灑灑5000多字。再看看評(píng)論，白帽子們一片叫好聲。我想絕大多數(shù)白帽會(huì)認(rèn)為，這才是一個(gè)認(rèn)真在對(duì)待“安全問(wèn)題”的廠商。

如果“廠商回復(fù)”能夠一定程度上反映廠商對(duì)“安全漏洞“的態(tài)度，那么騰訊對(duì)待烏云上的“安全漏洞”的態(tài)度怎么樣呢？

我們來(lái)看看2010年至2015年，騰訊對(duì)于969個(gè)已公開或已確認(rèn)狀態(tài)的漏洞的回復(fù)情況，這里我們畫個(gè)圖，縱軸表示每個(gè)漏洞中廠商回復(fù)的長(zhǎng)度，橫軸則是2010至2015年的每個(gè)漏洞。不同年份采用了不同顏色的點(diǎn)來(lái)表示。

可以看出，2010-2011年，騰訊對(duì)漏洞的回復(fù)都非常簡(jiǎn)短，早期的典型回復(fù)內(nèi)容如下：

“感謝結(jié)節(jié)師大俠的報(bào)告”、“Thanks”、“thx”。

到2012年前期，回復(fù)長(zhǎng)度略有增加，且有一定的長(zhǎng)度波動(dòng)，但是到了2012年后期，回復(fù)的內(nèi)容長(zhǎng)度突然出現(xiàn)了斷層，并穩(wěn)定在55至57個(gè)字符。

原因其實(shí)很簡(jiǎn)單：騰訊在2012年5月建立了自己的騰訊安全應(yīng)急響應(yīng)中心，其后，由于響應(yīng)中心上收到的漏洞數(shù)量增加，忙著處理自己漏洞平臺(tái)上的漏洞，第三方平臺(tái)上的漏洞回復(fù)就只能靠復(fù)制粘貼了。

有意壓低漏洞等級(jí)

在漏洞提交平臺(tái)上，Rank是廠商衡量漏洞重要性或危害性的一個(gè)指標(biāo)，保證正常衡量一個(gè)漏洞的危害，是對(duì)漏洞報(bào)告者的尊重，也是對(duì)“安全漏洞”本身的一個(gè)態(tài)度。

一般來(lái)說(shuō)大廠由于有相關(guān)的安全人員，在衡量漏洞危險(xiǎn)等級(jí)方面應(yīng)該還是挺專業(yè)的。假定一段時(shí)間內(nèi)，所出現(xiàn)的漏洞危害值是在高危與低危之間浮動(dòng)的，如果一旦評(píng)價(jià)出現(xiàn)衡量標(biāo)準(zhǔn)失衡，故意壓低Rank值的情況，那么應(yīng)該從Rank值的走勢(shì)上可以看出一些端倪。

以搜狗為例，互聯(lián)網(wǎng)漏洞平臺(tái)烏云上有239個(gè)搜狗的漏洞，已確認(rèn)或已公開的漏洞有190個(gè)。我們爬取烏云上這190個(gè)搜狗漏洞的Rank值，得到一個(gè)線圖。

從圖中不難看出，搜狗安全應(yīng)急響應(yīng)中心建立后不久，烏云上漏洞的Rank值突然降低到了0-5分的水平，而在建立之前，則一直浮動(dòng)在5-10之間。

關(guān)于漏洞審核

關(guān)于這一點(diǎn)，舉個(gè)騰訊忽略的漏洞：一個(gè)被用來(lái)抓取訪客QQ的XSS。雖然被忽略的這個(gè)漏洞看來(lái)危害比較小，但是卻能夠反映出一些問(wèn)題。

從報(bào)告標(biāo)題可知：這個(gè)漏洞已經(jīng)是被一些產(chǎn)業(yè)在利用的。既然是正在被利用的，那么應(yīng)該更加重視才對(duì)。然而，這個(gè)漏洞被忽略了。

是漏洞不存在才被忽略的嗎？答案并不是。

說(shuō)明審核人員并沒(méi)有對(duì)這個(gè)漏洞進(jìn)行足夠的重視。

說(shuō)到底，還是個(gè)態(tài)度問(wèn)題。