吐槽国内各大公司的漏洞报告平台

2013-07-01 749418人围观 ,发现 41 个不明物体 其他观点

先自我介绍下,笔者入安全圈已近十载,目前在某金融单位负责渗透测试工作。最近一年随着各大公司的漏洞报告平台搞得如火如荼,因为笔者单位可能也要搞类似的项目,所以笔者就把各大公司的平台全部体验了一遍,根据这些漏经历,吐槽下各大公司的漏洞平台。

一、腾讯安全应急中心(TSRC)

网址:http://security.tencent.com

TSRC算是最早成立的厂商漏洞平台,它的一些漏洞评分规则、奖励策略,甚至是站点设计,也被后面一些其它公司所效仿。

给TSRC提交过不少漏洞,web的也有,客户端的也有。WEB漏洞处理速度有时挺快,客户端的可能相对慢些,可能是测试原因。有时一个xss报上去,没多久就确认并修复,但有时一些逻辑漏洞报上去,磨叽好几天还没审核,这里不得不BS下TX。有时候处理者不明白的地方还会QQ上跟你反复确认沟通,这点还不错。

白帽子报漏洞,其实也大多是为奖品而来的,这里有必要说下奖励制度。TSRC是采用积分制度的,积分又按漏洞危害等级的不同,将积分乘以相应的权值得到安全币,再用安全币换相应礼品,现在其它漏洞平台也逐步采用了这种奖励制度,但他们是直接使用积分兑换的,所以整体来看,TX的安全币冒似比其它平台更值几块大洋,后面也会说到其它平台的奖励制度,呆会再吐槽下。

反正我的感觉还好,我记得08年那会儿,ben还在腾讯的时候,我给腾讯报了几个漏洞,后来只收到一个QQ公仔感谢;TSRC平台出来后,我算了一下,我拿到手的东西也差不多有几千。虽然几千块没多少,但是心里面会舒服一些。

二、网易安全中心


网址:http://aq.163.com

第二个成立的漏洞平台,其实第二个应该是人人网,但那只是个摆设,并没有真正运营起来,也没啥人报,不提也罢。

一提网易,不得不先吐槽下其“通货膨胀”的积分制度,那评分是积分乘以相应危害等级的立方倍,月初没几天就可以刷几千分,最终都是刷个上万分,一般人在月初看到这种情况,啥漏洞提交的欲望都没了。6月份的积分终于改邪归正,回到正常轨道了。

再来谈下网易的奖励制度,首月只有19名获取,后面一排4G U盘的的,20及之后的全都无奖励,白提交漏洞了,对这帮孩子深表同情。从第一名ipad4开始,其它奖品就一落千丈了,确实跟TX没法比。到了第二个月奖励时,那没得到的奖励的白帽子,甚至都没在感谢名单里面(后面又补上了),这是对白帽子的不认可啊,很容易引起公愤的,网易的童鞋们。

沟通问题一直是各漏洞平台的一大问题,有时可能未曾沟通就直接忽略漏洞,京东冒似好点,初期还会Q上沟通下。

对网易平台只有一个心愿:赶紧提高奖品质量,多些给力的奖品,同时让所有报漏洞的人都能获得奖品,避免分赃不均!


三、京东安全应急响应中心(JSRC)


网址:http://security.jd.com

对于JSRC平台,感觉上线有点急了,因为站点很多功能都没完善,很多bug,据说开发者是边学php边写代码的。平台的显示也有不少问题,看那css代码,估计也都是抄TSRC的。排行榜上只记录最近一个月的白帽子,之前的都查看不了。还有白帽子提交的漏洞,提交者都没法查看,目前是改进这问题了。最近刚上的JSRC 2.0版本已经改进不少,但平台功能还有待完善。

有关注JSRC的朋友都应该知道,京东首月奖品奖励就发给3个人,雷蛇三件套拆分成三份,前三名一人分一个,其它漏洞提交者无奖品、无公告感谢,不够人道啊!上面很多奖品都只成了摆设,要拿iphone5,你就得提交90个webshell来换,最初刚出来的时候要更多。京东站点本来就少,且各站点大多是卖东西,长得都差不多,一个人要拿90个webshell,这要猴年马月啊。要知道,腾讯的一些重点业务,找到个能拿webshell的严重漏洞基本上就等于是一个ipad,差距太大了,京东需要加大奖品的资金投入啊!

还就是JSRC在漏洞处理速度上略显有点慢。

京东的评分机制也大多是参考TSRC的,对比下他们各自的评分标准就知道了,不过在评分方面,我觉得京东还是挺合理的,因为他们直接借鉴了TSRC,避免重蹈TSRC的覆辙。虽然,JSRC平台做得比较差,但他们向TSRC学习的决心,还是值得鼓励的,希望后续能够得到更大完善。


四、百度安全响应中心(BSRC)


网址:http://sec.baidu.com

百度的平台跟京东的一样挫,,笔者觉得有必要来细数下BSRC的三重罪。

第一罪:沟通问题。白帽子提交有效漏洞后,未经任何沟通直接忽略,导致引起公愤,在微博上直接被白帽子点名批评。随后BSRC还发公告说明这是漏洞重复提交导致的,后面已增加评论功能了,但做得很粗糙,显示效果也不好。像TSRC搞的QQ临时在线沟通方法挺不错的,可以参考下。

第二罪:评分问题。百度的评分标准是这样的:高危(40~150)、中危(10~60)、低危(1~25,各等级分数之间都有交叉,且每一等级的评分范围都很广,基本没有给定确切的评分标准,百度管理员随意操作分数的空间相当之大。一个CSRF给1分,跟路径泄露等同,这价值观问题就体现出来了。一个XSS也都是低危中的7、8分而已,运气好可能还能拿个10分,反正评分标准也没有细说。一个可操作数据库的SQL注入40分,这是目前百度给出的最高分,也就是说,目前所有百度漏洞都只是“中危中的中危”而已,其实我很想知道,百度的150分是长什么样子的,可以约等同4个高危SQL注入。另外,在BSRC平台上,深深地感觉到一种“搞WEB鄙视搞BIN”的力量,各种客户端漏洞全都给低危,有一哥们提交了一些漏洞都是给2分、7分之类的,还不如一个XSS;还有一哥们提交内核DDOS直接忽略了。他们的“评分标准”对各种客户端漏洞说明甚少,只看到个缓冲区溢出、获取系统客户端权限等字眼,描述明显不到位。最初看他们给的礼品兑换积分,感觉冒似比TX低一些,但后面看百度给的评分,就知道他们跟TSRC差得太远了,比如高危SQL注入,百度给40分,腾讯是给90安全币,之间的差距已经无需言明。

第三罪:平台兼容问题。笔者用chrome提交漏洞的时候,提交不上,查看“最新动态”、“已提交漏洞”全部都不成功,用系统自带的IE也不行,最后才发现BSRC只有对FireFox的支持稳定些,真是个奇葩平台。BSRC平台开发时居然没有对浏览器的兼容性进行测试,对主流浏览器都不支持的平台想提交漏洞都提交不了。BSRC上面的链接都不用来跳转,一后退就得重新打开了,基本上漏洞平台上能体现的各种问题都让BSRC表现得淋漓尽致。


五、360安全漏洞响应平台


网址:http://vulreport.360.cn

自称世界第一大互联网安全公司的360是有一个收购第三方产品漏洞的平台,叫第三方漏洞收集平台,但今天我们主要是对比厂商自家漏洞的响应平台,那个花钱买别人漏洞的事就不提了。笔者比较奇怪的是,自家产品漏洞平台的提交居然是只能邮件提交的,而第三方漏洞收集平台反而允许直接在平台上提交的,所以它这平台不算是一个完整的漏洞平台。对于360值得肯定的一点就是,他们给的漏洞奖金确实不错,但之前一些WEB漏洞因为量太多,反而突然“降价”了,在百度搜索缓存里还可以找到“蛛丝马迹”的。

通过邮件提交漏洞,那速度可想而知了,大都得等个3天才会回复,处理时间也会比较长。之前一哥们提交了一些360压缩图片查看器的crash,公告一出来全都写“远程代码执行漏洞”,不知道360是否故意这样写以迷惑广大群众,还是根本就没本分析,直接扔这么个名称出来。他们这平台基本没用户交互,一个不完整的漏洞响应平台就没啥值得可吐槽的了。

这些评论亮了

  • Nicky 回复
    ...对于所有白帽子最蛋疼的问题永远都是:此漏洞已忽略
    TSRC相对完善些,奖励也是最高的,但不能理解的问题是忽略漏洞或者认为漏洞无影响但还是会修复漏洞
    163,JSRC完全没有交流可言
    BSRC的浏览器兼容都做不好
    360 从来不去
    )26( 亮了
  • 刘德华 回复
    人人网有漏洞提交平台?
    )22( 亮了
  • 河蟹 回复
    发现你真是个喷子狗 不管在t00ls 还在freebuf 总一大堆的理论 得瑟什么呢? 鄙视别人这个 说这个 骂那个 你不是别人 你咋知道别人的想法。 别把你的那套想法 强加在别人的身上。
    )22( 亮了
  • 河蟹 回复
    @anlfi  哎呀我操,我是河蟹 你敢抓我? 亲爱的才说自己是WJ。
    )19( 亮了
  • Look:http://image.baidu.com/i?tn=baiduimage&ipn=r&ct=201326592&cl=2&fm=index&lm=-1&st=-1&sf=2&fmq=&pv=&ic=0&nc=1&z=&fb=0&istype=2&ie=utf-8&word=河蟹 老子出来了
    )19( 亮了
发表评论

已有 41 条评论

取消
Loading...
css.php