互聯網企業理應重視安全漏洞

｜文/童斐

互聯網企業理應重視安全漏洞

｜文/童斐

一般來說大廠由于有相關的安全人員，在衡量漏洞危險等級方面應該還是挺專業的?？伤压钒踩珣表憫行慕⒑蟛痪茫瑸踉粕下┒吹腞ank值突然降低到了0-5分的水平，而在建立之前，則一直浮動在5-10之間。

對于互聯網安全漏洞，目前中國企業都越來越重視。各大企業都紛紛建立了各種SRC（漏洞報告平臺），從各個安全研究者手里“收購”各類安全漏洞。

拿騰訊來舉例子，并以第三方互聯網漏洞平臺烏云上的數據來做一些說明。烏云上騰訊的漏洞數量為1393個。其中，已忽略漏洞個數424個，已公開或已確認狀態漏洞969個。

廠商回復：從5000字到50字

首先來看一個漏洞，500wan彩票站SQL注入可導致注冊信息泄露。當然，重點不在漏洞本身，而是這個漏洞的廠商回復，洋洋灑灑5000多字。再看看評論，白帽子們一片叫好聲。我想絕大多數白帽會認為，這才是一個認真在對待“安全問題”的廠商。

如果“廠商回復”能夠一定程度上反映廠商對“安全漏洞“的態度，那么騰訊對待烏云上的“安全漏洞”的態度怎么樣呢？

我們來看看2010年至2015年，騰訊對于969個已公開或已確認狀態的漏洞的回復情況，這里我們畫個圖，縱軸表示每個漏洞中廠商回復的長度，橫軸則是2010至2015年的每個漏洞。不同年份采用了不同顏色的點來表示。

可以看出，2010-2011年，騰訊對漏洞的回復都非常簡短，早期的典型回復內容如下：

“感謝結節師大俠的報告”、“Thanks”、“thx”。

到2012年前期，回復長度略有增加，且有一定的長度波動，但是到了2012年后期，回復的內容長度突然出現了斷層，并穩定在55至57個字符。

原因其實很簡單：騰訊在2012年5月建立了自己的騰訊安全應急響應中心，其后，由于響應中心上收到的漏洞數量增加，忙著處理自己漏洞平臺上的漏洞，第三方平臺上的漏洞回復就只能靠復制粘貼了。

有意壓低漏洞等級

在漏洞提交平臺上，Rank是廠商衡量漏洞重要性或危害性的一個指標，保證正常衡量一個漏洞的危害，是對漏洞報告者的尊重，也是對“安全漏洞”本身的一個態度。

一般來說大廠由于有相關的安全人員，在衡量漏洞危險等級方面應該還是挺專業的。假定一段時間內，所出現的漏洞危害值是在高危與低危之間浮動的，如果一旦評價出現衡量標準失衡，故意壓低Rank值的情況，那么應該從Rank值的走勢上可以看出一些端倪。

以搜狗為例，互聯網漏洞平臺烏云上有239個搜狗的漏洞，已確認或已公開的漏洞有190個。我們爬取烏云上這190個搜狗漏洞的Rank值，得到一個線圖。

從圖中不難看出，搜狗安全應急響應中心建立后不久，烏云上漏洞的Rank值突然降低到了0-5分的水平，而在建立之前，則一直浮動在5-10之間。

關于漏洞審核

關于這一點，舉個騰訊忽略的漏洞：一個被用來抓取訪客QQ的XSS。雖然被忽略的這個漏洞看來危害比較小，但是卻能夠反映出一些問題。

從報告標題可知：這個漏洞已經是被一些產業在利用的。既然是正在被利用的，那么應該更加重視才對。然而，這個漏洞被忽略了。

是漏洞不存在才被忽略的嗎？答案并不是。

說明審核人員并沒有對這個漏洞進行足夠的重視。

說到底，還是個態度問題。