亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        互聯(lián)網(wǎng)企業(yè)理應(yīng)重視安全漏洞

        2015-12-05 02:32:17童斐
        消費(fèi)者報(bào)道 2015年7期
        關(guān)鍵詞:搜狗安全漏洞烏云

        |文/童斐

        互聯(lián)網(wǎng)企業(yè)理應(yīng)重視安全漏洞

        |文/童斐

        一般來(lái)說(shuō)大廠由于有相關(guān)的安全人員,在衡量漏洞危險(xiǎn)等級(jí)方面應(yīng)該還是挺專業(yè)的??伤压钒踩珣?yīng)急響應(yīng)中心建立后不久,烏云上漏洞的Rank值突然降低到了0-5分的水平,而在建立之前,則一直浮動(dòng)在5-10之間。

        對(duì)于互聯(lián)網(wǎng)安全漏洞,目前中國(guó)企業(yè)都越來(lái)越重視。各大企業(yè)都紛紛建立了各種SRC(漏洞報(bào)告平臺(tái)),從各個(gè)安全研究者手里“收購(gòu)”各類安全漏洞。

        拿騰訊來(lái)舉例子,并以第三方互聯(lián)網(wǎng)漏洞平臺(tái)烏云上的數(shù)據(jù)來(lái)做一些說(shuō)明。烏云上騰訊的漏洞數(shù)量為1393個(gè)。其中,已忽略漏洞個(gè)數(shù)424個(gè),已公開或已確認(rèn)狀態(tài)漏洞969個(gè)。

        廠商回復(fù):從5000字到50字

        首先來(lái)看一個(gè)漏洞,500wan彩票站SQL注入可導(dǎo)致注冊(cè)信息泄露。當(dāng)然,重點(diǎn)不在漏洞本身,而是這個(gè)漏洞的廠商回復(fù),洋洋灑灑5000多字。再看看評(píng)論,白帽子們一片叫好聲。我想絕大多數(shù)白帽會(huì)認(rèn)為,這才是一個(gè)認(rèn)真在對(duì)待“安全問(wèn)題”的廠商。

        如果“廠商回復(fù)”能夠一定程度上反映廠商對(duì)“安全漏洞“的態(tài)度,那么騰訊對(duì)待烏云上的“安全漏洞”的態(tài)度怎么樣呢?

        我們來(lái)看看2010年至2015年,騰訊對(duì)于969個(gè)已公開或已確認(rèn)狀態(tài)的漏洞的回復(fù)情況,這里我們畫個(gè)圖,縱軸表示每個(gè)漏洞中廠商回復(fù)的長(zhǎng)度,橫軸則是2010至2015年的每個(gè)漏洞。不同年份采用了不同顏色的點(diǎn)來(lái)表示。

        可以看出,2010-2011年,騰訊對(duì)漏洞的回復(fù)都非常簡(jiǎn)短,早期的典型回復(fù)內(nèi)容如下:

        “感謝結(jié)節(jié)師大俠的報(bào)告”、“Thanks”、“thx”。

        到2012年前期,回復(fù)長(zhǎng)度略有增加,且有一定的長(zhǎng)度波動(dòng),但是到了2012年后期,回復(fù)的內(nèi)容長(zhǎng)度突然出現(xiàn)了斷層,并穩(wěn)定在55至57個(gè)字符。

        原因其實(shí)很簡(jiǎn)單:騰訊在2012年5月建立了自己的騰訊安全應(yīng)急響應(yīng)中心,其后,由于響應(yīng)中心上收到的漏洞數(shù)量增加,忙著處理自己漏洞平臺(tái)上的漏洞,第三方平臺(tái)上的漏洞回復(fù)就只能靠復(fù)制粘貼了。

        有意壓低漏洞等級(jí)

        在漏洞提交平臺(tái)上,Rank是廠商衡量漏洞重要性或危害性的一個(gè)指標(biāo),保證正常衡量一個(gè)漏洞的危害,是對(duì)漏洞報(bào)告者的尊重,也是對(duì)“安全漏洞”本身的一個(gè)態(tài)度。

        一般來(lái)說(shuō)大廠由于有相關(guān)的安全人員,在衡量漏洞危險(xiǎn)等級(jí)方面應(yīng)該還是挺專業(yè)的。假定一段時(shí)間內(nèi),所出現(xiàn)的漏洞危害值是在高危與低危之間浮動(dòng)的,如果一旦評(píng)價(jià)出現(xiàn)衡量標(biāo)準(zhǔn)失衡,故意壓低Rank值的情況,那么應(yīng)該從Rank值的走勢(shì)上可以看出一些端倪。

        以搜狗為例,互聯(lián)網(wǎng)漏洞平臺(tái)烏云上有239個(gè)搜狗的漏洞,已確認(rèn)或已公開的漏洞有190個(gè)。我們爬取烏云上這190個(gè)搜狗漏洞的Rank值,得到一個(gè)線圖。

        從圖中不難看出,搜狗安全應(yīng)急響應(yīng)中心建立后不久,烏云上漏洞的Rank值突然降低到了0-5分的水平,而在建立之前,則一直浮動(dòng)在5-10之間。

        關(guān)于漏洞審核

        關(guān)于這一點(diǎn),舉個(gè)騰訊忽略的漏洞:一個(gè)被用來(lái)抓取訪客QQ的XSS。雖然被忽略的這個(gè)漏洞看來(lái)危害比較小,但是卻能夠反映出一些問(wèn)題。

        從報(bào)告標(biāo)題可知:這個(gè)漏洞已經(jīng)是被一些產(chǎn)業(yè)在利用的。既然是正在被利用的,那么應(yīng)該更加重視才對(duì)。然而,這個(gè)漏洞被忽略了。

        是漏洞不存在才被忽略的嗎?答案并不是。

        說(shuō)明審核人員并沒(méi)有對(duì)這個(gè)漏洞進(jìn)行足夠的重視。

        說(shuō)到底,還是個(gè)態(tài)度問(wèn)題。

        猜你喜歡
        搜狗安全漏洞烏云
        烏云樹
        幼兒100(2024年18期)2024-05-29 07:35:08
        騰訊擬147億元全資收購(gòu)搜狗
        烏云小黑
        烏云忘記了
        安全漏洞太大亞馬遜、沃爾瑪和Target緊急下架這種玩具
        玩具世界(2018年6期)2018-08-31 02:36:26
        基于安全漏洞掃描的校園網(wǎng)告警系統(tǒng)的開發(fā)與設(shè)計(jì)
        搜狗三季度營(yíng)收同比增長(zhǎng)
        CHIP新電腦(2016年11期)2016-12-03 14:26:58
        天上為什么有烏云
        搜狗分號(hào)工具箱 輸入更便捷
        安全漏洞Shellshock簡(jiǎn)介
        河南科技(2014年11期)2014-02-27 14:16:49
        亚洲中文字幕午夜精品| 一区在线播放| 人妻少妇偷人精品久久人妻| 国产av一区二区三区在线播放| 成在线人免费视频| 中文字幕一区二区三区久久网站| 色婷婷丁香综合激情| 中文字幕日韩精品永久在线| 色欲人妻aaaaaaa无码| 天天做天天躁天天躁| 精品国产午夜久久久久九九| 人妻系列中文字幕av| 亚洲熟妇av一区| 少妇厨房愉情理伦片bd在线观看| 亚洲AV色欲色欲WWW| 日本免费一二三区在线| 亚洲欧美乱综合图片区小说区| 在线观看91精品国产免费免费| 色中文字幕视频在线观看| 日韩精品免费一区二区三区观看| 777亚洲精品乱码久久久久久| 国产在线不卡AV观看| 久久狠狠髙潮曰十八女人| 国模gogo无码人体啪啪| 国产成人精品999在线观看| 911国产在线观看精品| 国产成人亚洲精品91专区高清 | 精品丝袜一区二区三区性色| 亚洲黄色一级在线观看| 岳好紧好湿夹太紧了好爽矜持| 在线精品国内视频秒播| 中文字幕人成乱码中文| 每日更新在线观看av| 男女野外做爰电影免费| 久久精品韩国日本国产| 麻豆视频在线播放观看| 国产精品9999久久久久| 日本加勒比东京热日韩| 亚洲捆绑女优一区二区三区| 东京道一本热中文字幕| 另类欧美亚洲|