基于W ooYun的視聽新媒體網站漏洞統計分析

何晶

（廣播科學研究院互聯網技術研究所，北京 100866）

基于W ooYun的視聽新媒體網站漏洞統計分析

何晶

（廣播科學研究院互聯網技術研究所，北京 100866）

漏洞庫是重要的信息安全基礎設施，上面保存了大量網站信息安全風險樣本。視聽網站作為重要的信息發布平臺，其信息安全性應受到極大的重視。通過對視聽網站在烏云漏洞庫（WooYun）中的漏洞信息進行統計分析，從漏洞數量、提交時間、危害等級和漏洞類型等方面進行多角度分析，發現其中一些共性的特點和問題，為我國視聽領域的信息安全發展提供建議和參考。

視聽網站；漏洞庫；統計分析；烏云漏洞庫

近年來，漏洞庫成為重要的信息收集和發布平臺，這對分析漏洞的分布、發展趨勢提供了很好的樣本空間。本文選取主要的視聽網站作為研究對象，通過對烏云漏洞庫（WooYun.org）中視聽節目服務網站各種漏洞信息進行分析和匯總，從數量、報告時間、危害等級和漏洞類型等角度，總結出一些現象和特征，為我國網絡視聽領域中的信息安全提供建議和參考。

1 烏云漏洞庫分析

1.1 漏洞庫簡介

漏洞庫是為更好地進行信息安全漏洞的管理及控制工作而建立的。烏云漏洞庫是一個國內非官方的漏洞報告平臺，同國家信息安全漏洞共享平臺（China Na?tional Vulnerability Database，CNVD）、中國國家信息安全漏洞庫（China National Vulnerability Database of In?formation Security，CNNVD）和美國著名的國家漏洞數據庫（National Vulnerability Database）等漏洞庫一樣，設立的初衷是為了能夠增強互聯網網站的信息安全建設，其共同特點是數據資源豐富、漏洞描述全面詳盡。在對網站進行安全風險評估的過程中，漏洞作者會發現一些有價值的現象或問題，向漏洞庫進行提交，而漏洞庫根據平等、公開和中立等原則，對收到的漏洞信息進行編號、分類和評級，對外進行公布。

為了更好地呈現漏洞信息，筆者從漏洞的信息頁面梳理出烏云漏洞庫標識與描述方法——烏云漏洞庫元數據，如圖1所示，與中國有效管理安全漏洞的基礎標準GB/T 28458—2012《信息安全技術安全漏洞標識描述規范》[1]作對照。在國家標準中，安全漏洞描述項包括標識號、名稱、發布時間、發布單位、類別、等級、影響系統等必需的描述項，并可根據需要擴充（但不限于）相關編號、利用方法、解決方案建議、其他描述等描述項[2]。其中從重要性上來說，發布時間、類別和等級是漏洞的3個重要屬性。如表1可以看出，烏云漏洞庫元數據不僅根據標識描述規范在其他描述中添加了漏洞作者、Tags標簽、廠商回復、最新狀態、漏洞狀態、披露狀態，對必選描述項的發布時間、等級和利用方法也進行擴充，使得漏洞在描述、處理和反饋各個環節的描述更為完整。

圖1 烏云漏洞信息元數據

表1 安全漏洞標識描述與烏云漏洞庫元數據的對應關系

對于烏云漏洞庫元數據，改進的部分在于關聯信息，對應國標的相關編號部分沒有對應元數據。而且實踐中也出現不少相關漏洞，如缺陷編號WooYun-2012-08336和WooYun-2012-12782，同樣在survey.tudou.com/iresearch處報告Struts2命令執行漏洞，因此為了更好地完善漏洞描述，建議增加相關漏洞等關聯信息。

1.2 視聽網站選取

為了簡化分析，本文只考慮獨立視頻網站，排除門戶旗下網站（騰訊視頻、搜狐視頻、新浪視頻）。根據反向鏈接數、PageRank等指標，按照網站價值的高低，選取優酷、土豆、PPTV、愛奇藝、CNTV、酷6、56網和樂視等共8家。

2 漏洞分析

2.1 漏洞數量和確認情況分析

截至2013年12月底，如表2所示，這8家網站共有554項漏洞被提交，共有482項優酷被網站確認，72項漏洞被忽略，整體確認率達到87%。

表2 各視聽網站漏洞數量匯總（提交日期截至2013年12月31日）

對于72個忽略漏洞處理，分為幾個不同情況，除了網站無回應無法分析忽略原因，54%的忽略漏洞被烏云追加Rank，這些漏洞平均Rank達到了5.88，這說明有很多低危害性的漏洞被網站選擇性忽略。著名的TJX信息泄露事件，2006年美國零售業巨頭TJX公司遭到黑客攻擊，導致9 400萬張信用卡和借記卡被盜。可以看出，攻擊者會從不起眼的漏洞開始，繞過任何看似堅不可摧的網絡隔離，最后幾乎完全攻破關鍵性運營設備[3]。還有超過10%的忽略漏洞是由于漏洞作者提交的漏洞信息不全或提交對象與漏洞屬主不符導致漏洞被忽略，這說明漏洞作者在信息收集階段做的工作還不太到位。此外漏洞被忽略的情況還有網站認為問題不大、網站誤操作和被白帽子（信息安全領域的安全研究人員，如漏洞作者和烏云網站的注冊用戶）發現網站自行修復。其中網站誤操作和被白帽子發現網站自行修復對漏洞作者的積極性影響較大，建議網站能認真對待。忽略漏洞的處理情況如圖2所示。

圖2 忽略漏洞的處理情況

因此，視聽網站應繼續保持較高的漏洞確認率，但還要對低危害漏洞予以積極確認，而漏洞作者應準確描述漏洞，便于網站漏洞處置。

2.2 漏洞危害等級分析

漏洞的危害等級是漏洞屬性的重要因素之一，根據漏洞評估結果的多樣性，可以將漏洞評價技術劃分為“定性評級”和“定量評分”。所謂定性評級即根據漏洞威脅評估要素，給漏洞確定一個威脅等級；定量評分則根據既定的評分因素，給漏洞一個確定的威脅分值[4]。烏云的漏洞等級評價系統采用了“定性評級”和“定量評分”雙重評價的方法。其中“定性評級”分為高、中、低3個級別；“定量評分”，定義為1～20之間的任意整數的Rank值。相比采用定性定量相關聯（CVSSSeverity）的美國國家漏洞庫，烏云沒有給出評分分值與定性評級的對應關系。此外烏云又允許漏洞作者、廠商和烏云追加三個評價角色，這樣一個漏洞出現了4個評價結果：自評危害等級、自評Rank、網站評價危害等級和網站評價Rank（包含烏云追加）。這種做法既綜合了定性評級的直觀以及定量評分的客觀，又不偏向漏洞作者和廠商任何一方，做到直觀、客觀和中立，但犧牲了一定的評價結果簡單性。

本文為了統計方便，將危害等級根據低中高映射成1分、2分、3分。若網站忽略漏洞，則無網站評價危害等級和評價Rank。若網站忽略漏洞但烏云補評定沒有危害等級，則只計入網站評價Rank，這里網站明確說明誤操作的除外。

對各家漏洞等級進行統計，如表3所示，不論是危害等級還是Rank，平均來看漏洞作者自評比網站評價高，但沒有出現NVD中等級為“高”的漏洞所占比例過高的現象[5]。基本維持在中級別（平均分2.23和2.17）和Rank為10（11.29和9.99）的平均線附近。這說明不論是漏洞作者還是網站，兩方均認為目前整體的漏洞危害程度沒有達到非常嚴重的階段。而且網站對自身漏洞危害等級和Rank值的方差均比漏洞作者設定的差異要大，說明和漏洞作者群體相比，網站安全人員對漏洞的危害性評估會結合業務危害性情況給出不同結果，而筆者可以認為漏洞作者的自評對于漏洞的技術危害性評定較為統一。

表3 漏洞危害等級統計表

此外，危害等級比漏洞作者自評要高的5家網站（優酷、土豆、CNTV、56網和樂視）的漏洞數量占比75%。盡管Rank平均值網站明顯低于漏洞作者自評，但是給出Rank高于漏洞作者的3家網站（優酷、CNTV和樂視）的漏洞數量占比也達到了50%。說明通常漏洞作者收到的漏洞評價與自身預期不一致，會相應影響提交漏洞的積極性，因此為了能促進漏洞作者積極提交漏洞，視聽網站還應積極想辦法。

烏云的危害等級評定采用漏洞作者、網站和烏云追加三個角色，結合“定性評級”、“定量評分”雙重評價方法，在犧牲了簡單性的基礎上努力做到直觀、客觀和中立。漏洞作者和網站均認為當前的安全形勢沒有達到非常嚴重的階段。此外網站的評價會影響漏洞作者提交漏洞的積極性。

2.3 漏洞提交時間分析

漏洞的提交時間是漏洞屬性的重要屬性之一，本部分對漏洞的提交時間屬性進行統計分析。

圖3是8家視聽新媒體網站收到的漏洞作者提交漏洞的數量月度走勢。可以看出，提交漏洞的總數量在波動中呈不斷上升趨勢，而且分為起始階段和穩定階段，具體劃分方法為每月穩定提交10個漏洞及以上，大致時間節點在2012年2月前后。進一步分析，如圖4所示，漏洞提交月均數量進行統計，可看出提交漏洞的時間出現明顯波峰波谷。波峰如6、7、9、10和11月，月均提交的漏洞數量超過20個，高于其他月份，這些對今后漏洞趨勢預測起到一定的借鑒作用。

圖3 漏洞提交數量月度走勢圖

圖4 漏洞提交數量月均統計圖

從單個視聽網站的收到漏洞月度走勢圖進行進一步分析，如圖5所示。重點在于長時間（大于等于6個月）沒有漏洞報告和漏洞高發月份（單個網站單月收到超過10個漏洞）的情況。

圖5 單個視聽網站的收到漏洞月度走勢圖

這8家中，愛奇藝、CNTV和酷6長時間沒有漏洞報告的情況。具體分析，愛奇藝和CNTV位于起始階段，而酷6在穩定階段。可理解為愛奇藝和CNTV開始有漏洞作者偶然發現漏洞并提交，后面不斷有漏洞作者提交漏洞。而2012年7—9月一段時間內提交的漏洞被忽略后，白帽子長達9個月沒有提交酷6的漏洞，長時間無漏洞和之前忽略漏洞呈現出一定的相關性，而且在當時白帽子評論中表示不滿意該網站的安全響應機制，這對網站的信息安全風險的發現和處置產生了一定的影響。

結合圖3和圖5，漏洞高發月份的原因主要是單個網站的提交漏洞數量明顯升高，如2012年9月，PPTV和樂視各收到18個和11個漏洞，兩家共占當月85%，2013年7月優酷和土豆分別收到15個和11個，兩家共占當月53%。進行進一步分析后發現，同類型漏洞的大面積爆發（如SQL注射漏洞、弱口令、命令執行）和漏洞作者的集中提交（PPTV 2012年9月）都可能會導致高發月份的出現。

因此，從提交時間屬性分析，越來越多的視聽網站漏洞被提交，希望網站的安全人員，特別是在高發月份段注意及時響應漏洞。此外同類型漏洞大面積爆發和漏洞作者集中提交這兩個原因都有可能導致漏洞高發月份的出現，從客觀條件和主觀條件兩方面都應注意。

各個網站漏洞高發月份成因如表4所示。

表4 各個網站漏洞高發月份成因

2.4 漏洞類型分析

類型也是漏洞的重要屬性之一，烏云定義了6個大類型，29個小類型，視聽網站至少報告了24種小類型。不同于《信息安全事件分類分級》國家標準中按事件行為將事件分成有害程序事件、網絡攻擊事件、信息破壞事件和信息內容安全事件等[6]，烏云是按基礎架構、系統運維、應用程序、業務安全和安全事件等漏洞所處層次分成大類，再按技術描述細分小類型，會出現大類型不同小類型近似的問題。如敏感信息泄露、重要敏感信息泄露、網絡敏感信息泄露3個類型實際上同屬敏感信息泄露，服務弱口令和后臺弱口令同為弱口令。為了更好說明問題，本文將按技術因素重新合并后形成17個類型，如圖6所示。

圖6 視聽網站漏洞類型分布圖

可見SQL注入、XSS、命令執行和敏感信息泄露等傳統漏洞占比64%，依然是主流問題。未授權訪問/權限繞過、弱口令等賬戶管理漏洞占比17%，仍是很大的問題，特別是視聽新媒體重要的專用系統，如樂視3個視頻編碼器后臺弱口令高危害等級漏洞（缺陷編號WooYun-2013-43662，WooYun-2013-41663，WooYun-2013-41576），說明漏洞作者已開始對視聽新媒體技術系統的業務安全重要性有一定的了解。此外由于配置問題導致的系統/服務運維配置不當、應用配置錯誤、系統/服務補丁不及時等配置問題占比9%，也暴露出網站運維過程管理的問題。通過評論也可以發現，一些漏洞的出現與系統的上線、更新有關。

結合之前提交日期中對高發月份的漏洞類型分析，確定漏洞的主要技術問題集中在傳統的Web安全漏洞、賬戶和配置管理問題。

3 總結與展望

通過本文的分析發現，視聽新媒體網站收到漏洞的數量在不斷增長，這說明該領域的安全形勢依然很嚴峻。漏洞類型方面應注意傳統漏洞、賬戶和配置管理問題，這需要在運維管理中加強安全方面的管理。此外希望網站能及時響應漏洞，認可漏洞作者的辛勤工作，提高漏洞作者的積極性。當然，相比上萬條的通用漏洞信息庫，本文分析的五百余條漏洞樣本數量尚不足以說明對通用漏洞庫上述分析是否有效。此外漏洞提交與響應時間的關系、漏洞作者的技術偏好、漏洞的Tag信息等方面還有待做進一步的分析。

[1]劉奇旭，張玉清，宮亞峰，等.安全漏洞標識與描述規范的研究[J].信息網絡安全，2011（7）：4-6.

[2] 中國國家標準化管理委員會.GB/T 28458—2012，信息安全技術安全漏洞標識與描述規范[S].北京：中國標準出版社，2012.

[3]ZALEWSKIM.Web之困現代Web應用安全指南[M].朱筱丹，譯.北京：機械工業出版社，2013.

[4]劉奇旭，張翀斌，張玉清，等.安全漏洞等級劃分關鍵技術研究[J].通信學報，2012，33（S1）：79-87.

[5] JONES J.CVSS severity analysis 2008[EB/OL].[2014-01-27]. http∶//first.org/cvss/jones-jeff-slides.pdf.

[6] 中國國家標準化管理委員會.GB/Z 20986—2007，信息安全技術 信息安全事件分類分級指南[S].北京：中國標準出版社，2007.

Statistical Analysis of Audiovisual Newmedia W ebsite Vulnerability Based on W ooYun Vulnerability Database

HE Jing
（Academy of Broadcasting Science Internet Technology Institute,Beijing 100866,China）

Vulnerability database is an important information security infrastructure,it holds a large number of various types web security vulnerability.Audiovisual website as an important platform for information prorogation,the security should be of pay attention to.This paper is based on the WooYun vulnerability database for statistical analysis,through multi-angle analysis from the number of vulnerabilities,from reporting time,the degree of harm and vulnerability types, etc.,and try to find some common problems.And it indicates some useful&interesting advice and information in the field of audiovisual website security.

audiovisual website;vulnerability database;statistical analysis;WooYun

TN948

A

??健男

2014-02-27

【本文獻信息】何晶.基于WooYun的視聽新媒體網站漏洞統計分析[J].電視技術，2014，38（16）.