互聯(lián)網(wǎng)企業(yè)理應(yīng)重視安全漏洞

｜文/童斐

互聯(lián)網(wǎng)企業(yè)理應(yīng)重視安全漏洞

｜文/童斐

一般來說大廠由于有相關(guān)的安全人員，在衡量漏洞危險等級方面應(yīng)該還是挺專業(yè)的?？伤压钒踩珣?yīng)急響應(yīng)中心建立后不久，烏云上漏洞的Rank值突然降低到了0-5分的水平，而在建立之前，則一直浮動在5-10之間。

對于互聯(lián)網(wǎng)安全漏洞，目前中國企業(yè)都越來越重視。各大企業(yè)都紛紛建立了各種SRC（漏洞報告平臺），從各個安全研究者手里“收購”各類安全漏洞。

拿騰訊來舉例子，并以第三方互聯(lián)網(wǎng)漏洞平臺烏云上的數(shù)據(jù)來做一些說明。烏云上騰訊的漏洞數(shù)量為1393個。其中，已忽略漏洞個數(shù)424個，已公開或已確認狀態(tài)漏洞969個。

廠商回復(fù)：從5000字到50字

首先來看一個漏洞，500wan彩票站SQL注入可導(dǎo)致注冊信息泄露。當(dāng)然，重點不在漏洞本身，而是這個漏洞的廠商回復(fù)，洋洋灑灑5000多字。再看看評論，白帽子們一片叫好聲。我想絕大多數(shù)白帽會認為，這才是一個認真在對待“安全問題”的廠商。

如果“廠商回復(fù)”能夠一定程度上反映廠商對“安全漏洞“的態(tài)度，那么騰訊對待烏云上的“安全漏洞”的態(tài)度怎么樣呢？

我們來看看2010年至2015年，騰訊對于969個已公開或已確認狀態(tài)的漏洞的回復(fù)情況，這里我們畫個圖，縱軸表示每個漏洞中廠商回復(fù)的長度，橫軸則是2010至2015年的每個漏洞。不同年份采用了不同顏色的點來表示。

可以看出，2010-2011年，騰訊對漏洞的回復(fù)都非常簡短，早期的典型回復(fù)內(nèi)容如下：

“感謝結(jié)節(jié)師大俠的報告”、“Thanks”、“thx”。

到2012年前期，回復(fù)長度略有增加，且有一定的長度波動，但是到了2012年后期，回復(fù)的內(nèi)容長度突然出現(xiàn)了斷層，并穩(wěn)定在55至57個字符。

原因其實很簡單：騰訊在2012年5月建立了自己的騰訊安全應(yīng)急響應(yīng)中心，其后，由于響應(yīng)中心上收到的漏洞數(shù)量增加，忙著處理自己漏洞平臺上的漏洞，第三方平臺上的漏洞回復(fù)就只能靠復(fù)制粘貼了。

有意壓低漏洞等級

在漏洞提交平臺上，Rank是廠商衡量漏洞重要性或危害性的一個指標，保證正常衡量一個漏洞的危害，是對漏洞報告者的尊重，也是對“安全漏洞”本身的一個態(tài)度。

一般來說大廠由于有相關(guān)的安全人員，在衡量漏洞危險等級方面應(yīng)該還是挺專業(yè)的。假定一段時間內(nèi)，所出現(xiàn)的漏洞危害值是在高危與低危之間浮動的，如果一旦評價出現(xiàn)衡量標準失衡，故意壓低Rank值的情況，那么應(yīng)該從Rank值的走勢上可以看出一些端倪。

以搜狗為例，互聯(lián)網(wǎng)漏洞平臺烏云上有239個搜狗的漏洞，已確認或已公開的漏洞有190個。我們爬取烏云上這190個搜狗漏洞的Rank值，得到一個線圖。

從圖中不難看出，搜狗安全應(yīng)急響應(yīng)中心建立后不久，烏云上漏洞的Rank值突然降低到了0-5分的水平，而在建立之前，則一直浮動在5-10之間。

關(guān)于漏洞審核

關(guān)于這一點，舉個騰訊忽略的漏洞：一個被用來抓取訪客QQ的XSS。雖然被忽略的這個漏洞看來危害比較小，但是卻能夠反映出一些問題。

從報告標題可知：這個漏洞已經(jīng)是被一些產(chǎn)業(yè)在利用的。既然是正在被利用的，那么應(yīng)該更加重視才對。然而，這個漏洞被忽略了。

是漏洞不存在才被忽略的嗎？答案并不是。

說明審核人員并沒有對這個漏洞進行足夠的重視。

說到底，還是個態(tài)度問題。