何晶
(廣播科學(xué)研究院互聯(lián)網(wǎng)技術(shù)研究所,北京 100866)
基于W ooYun的視聽(tīng)新媒體網(wǎng)站漏洞統(tǒng)計(jì)分析
何晶
(廣播科學(xué)研究院互聯(lián)網(wǎng)技術(shù)研究所,北京 100866)
漏洞庫(kù)是重要的信息安全基礎(chǔ)設(shè)施,上面保存了大量網(wǎng)站信息安全風(fēng)險(xiǎn)樣本。視聽(tīng)網(wǎng)站作為重要的信息發(fā)布平臺(tái),其信息安全性應(yīng)受到極大的重視。通過(guò)對(duì)視聽(tīng)網(wǎng)站在烏云漏洞庫(kù)(WooYun)中的漏洞信息進(jìn)行統(tǒng)計(jì)分析,從漏洞數(shù)量、提交時(shí)間、危害等級(jí)和漏洞類(lèi)型等方面進(jìn)行多角度分析,發(fā)現(xiàn)其中一些共性的特點(diǎn)和問(wèn)題,為我國(guó)視聽(tīng)領(lǐng)域的信息安全發(fā)展提供建議和參考。
視聽(tīng)網(wǎng)站;漏洞庫(kù);統(tǒng)計(jì)分析;烏云漏洞庫(kù)
近年來(lái),漏洞庫(kù)成為重要的信息收集和發(fā)布平臺(tái),這對(duì)分析漏洞的分布、發(fā)展趨勢(shì)提供了很好的樣本空間。本文選取主要的視聽(tīng)網(wǎng)站作為研究對(duì)象,通過(guò)對(duì)烏云漏洞庫(kù)(WooYun.org)中視聽(tīng)節(jié)目服務(wù)網(wǎng)站各種漏洞信息進(jìn)行分析和匯總,從數(shù)量、報(bào)告時(shí)間、危害等級(jí)和漏洞類(lèi)型等角度,總結(jié)出一些現(xiàn)象和特征,為我國(guó)網(wǎng)絡(luò)視聽(tīng)領(lǐng)域中的信息安全提供建議和參考。
1.1 漏洞庫(kù)簡(jiǎn)介
漏洞庫(kù)是為更好地進(jìn)行信息安全漏洞的管理及控制工作而建立的。烏云漏洞庫(kù)是一個(gè)國(guó)內(nèi)非官方的漏洞報(bào)告平臺(tái),同國(guó)家信息安全漏洞共享平臺(tái)(China Na?tional Vulnerability Database,CNVD)、中國(guó)國(guó)家信息安全漏洞庫(kù)(China National Vulnerability Database of In?formation Security,CNNVD)和美國(guó)著名的國(guó)家漏洞數(shù)據(jù)庫(kù)(National Vulnerability Database)等漏洞庫(kù)一樣,設(shè)立的初衷是為了能夠增強(qiáng)互聯(lián)網(wǎng)網(wǎng)站的信息安全建設(shè),其共同特點(diǎn)是數(shù)據(jù)資源豐富、漏洞描述全面詳盡。在對(duì)網(wǎng)站進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的過(guò)程中,漏洞作者會(huì)發(fā)現(xiàn)一些有價(jià)值的現(xiàn)象或問(wèn)題,向漏洞庫(kù)進(jìn)行提交,而漏洞庫(kù)根據(jù)平等、公開(kāi)和中立等原則,對(duì)收到的漏洞信息進(jìn)行編號(hào)、分類(lèi)和評(píng)級(jí),對(duì)外進(jìn)行公布。
為了更好地呈現(xiàn)漏洞信息,筆者從漏洞的信息頁(yè)面梳理出烏云漏洞庫(kù)標(biāo)識(shí)與描述方法——烏云漏洞庫(kù)元數(shù)據(jù),如圖1所示,與中國(guó)有效管理安全漏洞的基礎(chǔ)標(biāo)準(zhǔn)GB/T 28458—2012《信息安全技術(shù)安全漏洞標(biāo)識(shí)描述規(guī)范》[1]作對(duì)照。在國(guó)家標(biāo)準(zhǔn)中,安全漏洞描述項(xiàng)包括標(biāo)識(shí)號(hào)、名稱(chēng)、發(fā)布時(shí)間、發(fā)布單位、類(lèi)別、等級(jí)、影響系統(tǒng)等必需的描述項(xiàng),并可根據(jù)需要擴(kuò)充(但不限于)相關(guān)編號(hào)、利用方法、解決方案建議、其他描述等描述項(xiàng)[2]。其中從重要性上來(lái)說(shuō),發(fā)布時(shí)間、類(lèi)別和等級(jí)是漏洞的3個(gè)重要屬性。如表1可以看出,烏云漏洞庫(kù)元數(shù)據(jù)不僅根據(jù)標(biāo)識(shí)描述規(guī)范在其他描述中添加了漏洞作者、Tags標(biāo)簽、廠商回復(fù)、最新?tīng)顟B(tài)、漏洞狀態(tài)、披露狀態(tài),對(duì)必選描述項(xiàng)的發(fā)布時(shí)間、等級(jí)和利用方法也進(jìn)行擴(kuò)充,使得漏洞在描述、處理和反饋各個(gè)環(huán)節(jié)的描述更為完整。
圖1 烏云漏洞信息元數(shù)據(jù)
表1 安全漏洞標(biāo)識(shí)描述與烏云漏洞庫(kù)元數(shù)據(jù)的對(duì)應(yīng)關(guān)系
對(duì)于烏云漏洞庫(kù)元數(shù)據(jù),改進(jìn)的部分在于關(guān)聯(lián)信息,對(duì)應(yīng)國(guó)標(biāo)的相關(guān)編號(hào)部分沒(méi)有對(duì)應(yīng)元數(shù)據(jù)。而且實(shí)踐中也出現(xiàn)不少相關(guān)漏洞,如缺陷編號(hào)WooYun-2012-08336和WooYun-2012-12782,同樣在survey.tudou.com/iresearch處報(bào)告Struts2命令執(zhí)行漏洞,因此為了更好地完善漏洞描述,建議增加相關(guān)漏洞等關(guān)聯(lián)信息。
1.2 視聽(tīng)網(wǎng)站選取
為了簡(jiǎn)化分析,本文只考慮獨(dú)立視頻網(wǎng)站,排除門(mén)戶(hù)旗下網(wǎng)站(騰訊視頻、搜狐視頻、新浪視頻)。根據(jù)反向鏈接數(shù)、PageRank等指標(biāo),按照網(wǎng)站價(jià)值的高低,選取優(yōu)酷、土豆、PPTV、愛(ài)奇藝、CNTV、酷6、56網(wǎng)和樂(lè)視等共8家。
2.1 漏洞數(shù)量和確認(rèn)情況分析
截至2013年12月底,如表2所示,這8家網(wǎng)站共有554項(xiàng)漏洞被提交,共有482項(xiàng)優(yōu)酷被網(wǎng)站確認(rèn),72項(xiàng)漏洞被忽略,整體確認(rèn)率達(dá)到87%。
表2 各視聽(tīng)網(wǎng)站漏洞數(shù)量匯總(提交日期截至2013年12月31日)
對(duì)于72個(gè)忽略漏洞處理,分為幾個(gè)不同情況,除了網(wǎng)站無(wú)回應(yīng)無(wú)法分析忽略原因,54%的忽略漏洞被烏云追加Rank,這些漏洞平均Rank達(dá)到了5.88,這說(shuō)明有很多低危害性的漏洞被網(wǎng)站選擇性忽略。著名的TJX信息泄露事件,2006年美國(guó)零售業(yè)巨頭TJX公司遭到黑客攻擊,導(dǎo)致9 400萬(wàn)張信用卡和借記卡被盜??梢钥闯?,攻擊者會(huì)從不起眼的漏洞開(kāi)始,繞過(guò)任何看似堅(jiān)不可摧的網(wǎng)絡(luò)隔離,最后幾乎完全攻破關(guān)鍵性運(yùn)營(yíng)設(shè)備[3]。還有超過(guò)10%的忽略漏洞是由于漏洞作者提交的漏洞信息不全或提交對(duì)象與漏洞屬主不符導(dǎo)致漏洞被忽略,這說(shuō)明漏洞作者在信息收集階段做的工作還不太到位。此外漏洞被忽略的情況還有網(wǎng)站認(rèn)為問(wèn)題不大、網(wǎng)站誤操作和被白帽子(信息安全領(lǐng)域的安全研究人員,如漏洞作者和烏云網(wǎng)站的注冊(cè)用戶(hù))發(fā)現(xiàn)網(wǎng)站自行修復(fù)。其中網(wǎng)站誤操作和被白帽子發(fā)現(xiàn)網(wǎng)站自行修復(fù)對(duì)漏洞作者的積極性影響較大,建議網(wǎng)站能認(rèn)真對(duì)待。忽略漏洞的處理情況如圖2所示。
圖2 忽略漏洞的處理情況
因此,視聽(tīng)網(wǎng)站應(yīng)繼續(xù)保持較高的漏洞確認(rèn)率,但還要對(duì)低危害漏洞予以積極確認(rèn),而漏洞作者應(yīng)準(zhǔn)確描述漏洞,便于網(wǎng)站漏洞處置。
2.2 漏洞危害等級(jí)分析
漏洞的危害等級(jí)是漏洞屬性的重要因素之一,根據(jù)漏洞評(píng)估結(jié)果的多樣性,可以將漏洞評(píng)價(jià)技術(shù)劃分為“定性評(píng)級(jí)”和“定量評(píng)分”。所謂定性評(píng)級(jí)即根據(jù)漏洞威脅評(píng)估要素,給漏洞確定一個(gè)威脅等級(jí);定量評(píng)分則根據(jù)既定的評(píng)分因素,給漏洞一個(gè)確定的威脅分值[4]。烏云的漏洞等級(jí)評(píng)價(jià)系統(tǒng)采用了“定性評(píng)級(jí)”和“定量評(píng)分”雙重評(píng)價(jià)的方法。其中“定性評(píng)級(jí)”分為高、中、低3個(gè)級(jí)別;“定量評(píng)分”,定義為1~20之間的任意整數(shù)的Rank值。相比采用定性定量相關(guān)聯(lián)(CVSSSeverity)的美國(guó)國(guó)家漏洞庫(kù),烏云沒(méi)有給出評(píng)分分值與定性評(píng)級(jí)的對(duì)應(yīng)關(guān)系。此外烏云又允許漏洞作者、廠商和烏云追加三個(gè)評(píng)價(jià)角色,這樣一個(gè)漏洞出現(xiàn)了4個(gè)評(píng)價(jià)結(jié)果:自評(píng)危害等級(jí)、自評(píng)Rank、網(wǎng)站評(píng)價(jià)危害等級(jí)和網(wǎng)站評(píng)價(jià)Rank(包含烏云追加)。這種做法既綜合了定性評(píng)級(jí)的直觀以及定量評(píng)分的客觀,又不偏向漏洞作者和廠商任何一方,做到直觀、客觀和中立,但犧牲了一定的評(píng)價(jià)結(jié)果簡(jiǎn)單性。
本文為了統(tǒng)計(jì)方便,將危害等級(jí)根據(jù)低中高映射成1分、2分、3分。若網(wǎng)站忽略漏洞,則無(wú)網(wǎng)站評(píng)價(jià)危害等級(jí)和評(píng)價(jià)Rank。若網(wǎng)站忽略漏洞但烏云補(bǔ)評(píng)定沒(méi)有危害等級(jí),則只計(jì)入網(wǎng)站評(píng)價(jià)Rank,這里網(wǎng)站明確說(shuō)明誤操作的除外。
對(duì)各家漏洞等級(jí)進(jìn)行統(tǒng)計(jì),如表3所示,不論是危害等級(jí)還是Rank,平均來(lái)看漏洞作者自評(píng)比網(wǎng)站評(píng)價(jià)高,但沒(méi)有出現(xiàn)NVD中等級(jí)為“高”的漏洞所占比例過(guò)高的現(xiàn)象[5]?;揪S持在中級(jí)別(平均分2.23和2.17)和Rank為10(11.29和9.99)的平均線附近。這說(shuō)明不論是漏洞作者還是網(wǎng)站,兩方均認(rèn)為目前整體的漏洞危害程度沒(méi)有達(dá)到非常嚴(yán)重的階段。而且網(wǎng)站對(duì)自身漏洞危害等級(jí)和Rank值的方差均比漏洞作者設(shè)定的差異要大,說(shuō)明和漏洞作者群體相比,網(wǎng)站安全人員對(duì)漏洞的危害性評(píng)估會(huì)結(jié)合業(yè)務(wù)危害性情況給出不同結(jié)果,而筆者可以認(rèn)為漏洞作者的自評(píng)對(duì)于漏洞的技術(shù)危害性評(píng)定較為統(tǒng)一。
表3 漏洞危害等級(jí)統(tǒng)計(jì)表
此外,危害等級(jí)比漏洞作者自評(píng)要高的5家網(wǎng)站(優(yōu)酷、土豆、CNTV、56網(wǎng)和樂(lè)視)的漏洞數(shù)量占比75%。盡管Rank平均值網(wǎng)站明顯低于漏洞作者自評(píng),但是給出Rank高于漏洞作者的3家網(wǎng)站(優(yōu)酷、CNTV和樂(lè)視)的漏洞數(shù)量占比也達(dá)到了50%。說(shuō)明通常漏洞作者收到的漏洞評(píng)價(jià)與自身預(yù)期不一致,會(huì)相應(yīng)影響提交漏洞的積極性,因此為了能促進(jìn)漏洞作者積極提交漏洞,視聽(tīng)網(wǎng)站還應(yīng)積極想辦法。
烏云的危害等級(jí)評(píng)定采用漏洞作者、網(wǎng)站和烏云追加三個(gè)角色,結(jié)合“定性評(píng)級(jí)”、“定量評(píng)分”雙重評(píng)價(jià)方法,在犧牲了簡(jiǎn)單性的基礎(chǔ)上努力做到直觀、客觀和中立。漏洞作者和網(wǎng)站均認(rèn)為當(dāng)前的安全形勢(shì)沒(méi)有達(dá)到非常嚴(yán)重的階段。此外網(wǎng)站的評(píng)價(jià)會(huì)影響漏洞作者提交漏洞的積極性。
2.3 漏洞提交時(shí)間分析
漏洞的提交時(shí)間是漏洞屬性的重要屬性之一,本部分對(duì)漏洞的提交時(shí)間屬性進(jìn)行統(tǒng)計(jì)分析。
圖3是8家視聽(tīng)新媒體網(wǎng)站收到的漏洞作者提交漏洞的數(shù)量月度走勢(shì)。可以看出,提交漏洞的總數(shù)量在波動(dòng)中呈不斷上升趨勢(shì),而且分為起始階段和穩(wěn)定階段,具體劃分方法為每月穩(wěn)定提交10個(gè)漏洞及以上,大致時(shí)間節(jié)點(diǎn)在2012年2月前后。進(jìn)一步分析,如圖4所示,漏洞提交月均數(shù)量進(jìn)行統(tǒng)計(jì),可看出提交漏洞的時(shí)間出現(xiàn)明顯波峰波谷。波峰如6、7、9、10和11月,月均提交的漏洞數(shù)量超過(guò)20個(gè),高于其他月份,這些對(duì)今后漏洞趨勢(shì)預(yù)測(cè)起到一定的借鑒作用。
圖3 漏洞提交數(shù)量月度走勢(shì)圖
圖4 漏洞提交數(shù)量月均統(tǒng)計(jì)圖
從單個(gè)視聽(tīng)網(wǎng)站的收到漏洞月度走勢(shì)圖進(jìn)行進(jìn)一步分析,如圖5所示。重點(diǎn)在于長(zhǎng)時(shí)間(大于等于6個(gè)月)沒(méi)有漏洞報(bào)告和漏洞高發(fā)月份(單個(gè)網(wǎng)站單月收到超過(guò)10個(gè)漏洞)的情況。
圖5 單個(gè)視聽(tīng)網(wǎng)站的收到漏洞月度走勢(shì)圖
這8家中,愛(ài)奇藝、CNTV和酷6長(zhǎng)時(shí)間沒(méi)有漏洞報(bào)告的情況。具體分析,愛(ài)奇藝和CNTV位于起始階段,而酷6在穩(wěn)定階段??衫斫鉃閻?ài)奇藝和CNTV開(kāi)始有漏洞作者偶然發(fā)現(xiàn)漏洞并提交,后面不斷有漏洞作者提交漏洞。而2012年7—9月一段時(shí)間內(nèi)提交的漏洞被忽略后,白帽子長(zhǎng)達(dá)9個(gè)月沒(méi)有提交酷6的漏洞,長(zhǎng)時(shí)間無(wú)漏洞和之前忽略漏洞呈現(xiàn)出一定的相關(guān)性,而且在當(dāng)時(shí)白帽子評(píng)論中表示不滿(mǎn)意該網(wǎng)站的安全響應(yīng)機(jī)制,這對(duì)網(wǎng)站的信息安全風(fēng)險(xiǎn)的發(fā)現(xiàn)和處置產(chǎn)生了一定的影響。
結(jié)合圖3和圖5,漏洞高發(fā)月份的原因主要是單個(gè)網(wǎng)站的提交漏洞數(shù)量明顯升高,如2012年9月,PPTV和樂(lè)視各收到18個(gè)和11個(gè)漏洞,兩家共占當(dāng)月85%,2013年7月優(yōu)酷和土豆分別收到15個(gè)和11個(gè),兩家共占當(dāng)月53%。進(jìn)行進(jìn)一步分析后發(fā)現(xiàn),同類(lèi)型漏洞的大面積爆發(fā)(如SQL注射漏洞、弱口令、命令執(zhí)行)和漏洞作者的集中提交(PPTV 2012年9月)都可能會(huì)導(dǎo)致高發(fā)月份的出現(xiàn)。
因此,從提交時(shí)間屬性分析,越來(lái)越多的視聽(tīng)網(wǎng)站漏洞被提交,希望網(wǎng)站的安全人員,特別是在高發(fā)月份段注意及時(shí)響應(yīng)漏洞。此外同類(lèi)型漏洞大面積爆發(fā)和漏洞作者集中提交這兩個(gè)原因都有可能導(dǎo)致漏洞高發(fā)月份的出現(xiàn),從客觀條件和主觀條件兩方面都應(yīng)注意。
各個(gè)網(wǎng)站漏洞高發(fā)月份成因如表4所示。
表4 各個(gè)網(wǎng)站漏洞高發(fā)月份成因
2.4 漏洞類(lèi)型分析
類(lèi)型也是漏洞的重要屬性之一,烏云定義了6個(gè)大類(lèi)型,29個(gè)小類(lèi)型,視聽(tīng)網(wǎng)站至少報(bào)告了24種小類(lèi)型。不同于《信息安全事件分類(lèi)分級(jí)》國(guó)家標(biāo)準(zhǔn)中按事件行為將事件分成有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件和信息內(nèi)容安全事件等[6],烏云是按基礎(chǔ)架構(gòu)、系統(tǒng)運(yùn)維、應(yīng)用程序、業(yè)務(wù)安全和安全事件等漏洞所處層次分成大類(lèi),再按技術(shù)描述細(xì)分小類(lèi)型,會(huì)出現(xiàn)大類(lèi)型不同小類(lèi)型近似的問(wèn)題。如敏感信息泄露、重要敏感信息泄露、網(wǎng)絡(luò)敏感信息泄露3個(gè)類(lèi)型實(shí)際上同屬敏感信息泄露,服務(wù)弱口令和后臺(tái)弱口令同為弱口令。為了更好說(shuō)明問(wèn)題,本文將按技術(shù)因素重新合并后形成17個(gè)類(lèi)型,如圖6所示。
圖6 視聽(tīng)網(wǎng)站漏洞類(lèi)型分布圖
可見(jiàn)SQL注入、XSS、命令執(zhí)行和敏感信息泄露等傳統(tǒng)漏洞占比64%,依然是主流問(wèn)題。未授權(quán)訪問(wèn)/權(quán)限繞過(guò)、弱口令等賬戶(hù)管理漏洞占比17%,仍是很大的問(wèn)題,特別是視聽(tīng)新媒體重要的專(zhuān)用系統(tǒng),如樂(lè)視3個(gè)視頻編碼器后臺(tái)弱口令高危害等級(jí)漏洞(缺陷編號(hào)WooYun-2013-43662,WooYun-2013-41663,WooYun-2013-41576),說(shuō)明漏洞作者已開(kāi)始對(duì)視聽(tīng)新媒體技術(shù)系統(tǒng)的業(yè)務(wù)安全重要性有一定的了解。此外由于配置問(wèn)題導(dǎo)致的系統(tǒng)/服務(wù)運(yùn)維配置不當(dāng)、應(yīng)用配置錯(cuò)誤、系統(tǒng)/服務(wù)補(bǔ)丁不及時(shí)等配置問(wèn)題占比9%,也暴露出網(wǎng)站運(yùn)維過(guò)程管理的問(wèn)題。通過(guò)評(píng)論也可以發(fā)現(xiàn),一些漏洞的出現(xiàn)與系統(tǒng)的上線、更新有關(guān)。
結(jié)合之前提交日期中對(duì)高發(fā)月份的漏洞類(lèi)型分析,確定漏洞的主要技術(shù)問(wèn)題集中在傳統(tǒng)的Web安全漏洞、賬戶(hù)和配置管理問(wèn)題。
通過(guò)本文的分析發(fā)現(xiàn),視聽(tīng)新媒體網(wǎng)站收到漏洞的數(shù)量在不斷增長(zhǎng),這說(shuō)明該領(lǐng)域的安全形勢(shì)依然很?chē)?yán)峻。漏洞類(lèi)型方面應(yīng)注意傳統(tǒng)漏洞、賬戶(hù)和配置管理問(wèn)題,這需要在運(yùn)維管理中加強(qiáng)安全方面的管理。此外希望網(wǎng)站能及時(shí)響應(yīng)漏洞,認(rèn)可漏洞作者的辛勤工作,提高漏洞作者的積極性。當(dāng)然,相比上萬(wàn)條的通用漏洞信息庫(kù),本文分析的五百余條漏洞樣本數(shù)量尚不足以說(shuō)明對(duì)通用漏洞庫(kù)上述分析是否有效。此外漏洞提交與響應(yīng)時(shí)間的關(guān)系、漏洞作者的技術(shù)偏好、漏洞的Tag信息等方面還有待做進(jìn)一步的分析。
[1]劉奇旭,張玉清,宮亞峰,等.安全漏洞標(biāo)識(shí)與描述規(guī)范的研究[J].信息網(wǎng)絡(luò)安全,2011(7):4-6.
[2] 中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T 28458—2012,信息安全技術(shù)安全漏洞標(biāo)識(shí)與描述規(guī)范[S].北京:中國(guó)標(biāo)準(zhǔn)出版社,2012.
[3]ZALEWSKIM.Web之困現(xiàn)代Web應(yīng)用安全指南[M].朱筱丹,譯.北京:機(jī)械工業(yè)出版社,2013.
[4]劉奇旭,張翀斌,張玉清,等.安全漏洞等級(jí)劃分關(guān)鍵技術(shù)研究[J].通信學(xué)報(bào),2012,33(S1):79-87.
[5] JONES J.CVSS severity analysis 2008[EB/OL].[2014-01-27]. http∶//first.org/cvss/jones-jeff-slides.pdf.
[6] 中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/Z 20986—2007,信息安全技術(shù) 信息安全事件分類(lèi)分級(jí)指南[S].北京:中國(guó)標(biāo)準(zhǔn)出版社,2007.
Statistical Analysis of Audiovisual Newmedia W ebsite Vulnerability Based on W ooYun Vulnerability Database
HE Jing
(Academy of Broadcasting Science Internet Technology Institute,Beijing 100866,China)
Vulnerability database is an important information security infrastructure,it holds a large number of various types web security vulnerability.Audiovisual website as an important platform for information prorogation,the security should be of pay attention to.This paper is based on the WooYun vulnerability database for statistical analysis,through multi-angle analysis from the number of vulnerabilities,from reporting time,the degree of harm and vulnerability types, etc.,and try to find some common problems.And it indicates some useful&interesting advice and information in the field of audiovisual website security.
audiovisual website;vulnerability database;statistical analysis;WooYun
TN948
A
??健男
2014-02-27
【本文獻(xiàn)信息】何晶.基于WooYun的視聽(tīng)新媒體網(wǎng)站漏洞統(tǒng)計(jì)分析[J].電視技術(shù),2014,38(16).