互联网企业理应重视安全漏洞

一般来说大厂由于有相关的安全人员,在衡量漏洞危险等级方面应该还是挺专业的。可搜狗安全应急响应中心建立后不久,乌云上漏洞的Rank值突然降低到了0-5分的水平,而在建立之前,则一直浮动在5-10之间。

China Consumer Report - - 汽车 电子 - |文/童斐

对于互联网安全漏洞,目前中国企业都越来越重视。各大企业都纷纷建立了各种SRC(漏洞报告平台),从各个安全研究者手里“收购”各类安全漏洞。

拿腾讯来举例子,并以第三方互联网漏洞平台乌云上的数据来做一些说明。乌云上腾讯的漏洞数量为 1393个。其中,已忽略漏洞个数424个,已公开或已确认状态漏洞969个。

厂商回复:从 5000 字到 50 字

首先来看一个漏洞,500wan彩票站SQL注入可导致注册信息泄露。当然,重点不在漏洞本身,而是这个漏洞的厂商回复,洋洋洒洒5000多字。再看看评论,白帽子们一片叫好声。我想绝大多数白帽会认为,这才是一个认真在对待“安全问题”的厂商。

如果“厂商回复”能够一定程度上反映厂商对“安全漏洞“的态度,那么腾讯对待乌云上的“安全漏洞”的态度怎么样呢?

我们来看看2010 年至 2015年,腾讯对于969 个已公开或已确认状态的漏洞的回复情况,这里我们画个图,纵轴表示每个漏洞中厂商回复的长度,横轴则是2010 至 2015年的每个漏洞。不同年份采用了不同颜色的点来表示。

可以看出,2010-2011年,腾讯对漏洞的回复都非常简短,早期的典型回复内容如下: “感谢结节师大侠的报告”、“Thanks”、“thx”。到 2012年前期,回复长度略有增加,且有一定的长度波动,但是到了2012年后期,回复的内容长 度突然出现了断层,并稳定在55 至 57个字符。

原因其实很简单:腾讯在 2012 年5月建立了自己的腾讯安全应急响应中心,其后,由于响应中心上收到的漏洞数量增加,忙着处理自己漏洞平台上的漏洞,第三方平台上的漏洞回复就只能靠复制粘贴了。

有意压低漏洞等级

在漏洞提交平台上,Rank是厂商衡量漏洞重要性或危害性的一个指标,保证正常衡量一个漏洞的危害,是对漏洞报告者的尊重,也是对“安全漏洞”本身的一个态度。

一般来说大厂由于有相关的安全人员,在衡量漏洞危险等级方面应该还是挺专业的。假定一段时间内,所出现的漏洞危害值是在高危与低危之间浮动的,如果一旦评价出现衡量标准失衡,故意压低Rank值的情况,那么应该从Rank值的走势上可以看出一些端倪。

以搜狗为例,互联网漏洞平台乌云上有239个搜狗的漏洞,已确认或已公开的漏洞有190个。我们爬取乌云上这190个搜狗漏洞的Rank值,得到一个线图。

从图中不难看出,搜狗安全应急响应中心建立后不久,乌云上漏洞的Rank值突然降低到了0-5 分的水平,而在建立之前,则一直浮动在5-10之间。

关于漏洞审核

关于这一点,举个腾讯忽略的漏洞:一个被用来抓取访客QQ的XSS。虽然被忽略的这个漏洞看来危害比较小,但是却能够反映出一些问题。

从报告标题可知:这个漏洞已经是被一些产业在利用的。既然是正在被利用的,那么应该更加重视才对。然而,这个漏洞被忽略了。是漏洞不存在才被忽略的吗?答案并不是。说明审核人员并没有对这个漏洞进行足够的重视。

说到底,还是个态度问题。

腾讯漏洞 2010 - 2015 年

搜狐漏洞 2010 - 2015 年

Newspapers in Chinese (Simplified)

Newspapers from China

© PressReader. All rights reserved.