在网络安全领域,白帽子始终扮演着保护网络安全的重要角色。为了鼓励更多人参与漏洞挖掘和报告,许多组织和公司推出了SRC(漏洞奖励计划)来奖励那些能够发现并报告系统漏洞的人。
SRC奖励计划的设立初衷是为了鼓励白帽子积极参与漏洞挖掘和报告工作,以帮助企业和组织及时修复系统中的漏洞,提升网络安全水平。通过给予漏洞挖掘者一定的经济奖励,可以增加其积极性和动力,激励更多人加入到网络安全事业中。
作为漏洞挖掘者,他们在提交漏洞之前经历了大量的时间和精力投入。然而,由于SRC奖励计划的问题,他们得到的回报却逐渐减少。这种现象导致了一种恶性循环,即漏洞挖掘者不再积极参与漏洞挖掘,因为奖励已经无法满足他们的期望。一些有实力的漏洞挖掘者可能转向其他渠道,比如 搞公众号发文章、搞培训割韭菜,寻找更好的机会或利润,这对于国内的网络安全事业是一个巨大的损失。
回到原话题,众所周知,TSRC是网安圈的新人礼包,给出的漏洞奖金属实让刚入门的小白心动,不亚于白送钱,每年拨动百万资金修复漏洞,但是安全性并没有提高多少。产生有力贡献的白帽子没得到应有的奖励,反而让新手小白瓜分。主要原因不只是漏洞的收录政策问题,更多的是员工的人为问题。
早在几年前,我开始挖掘TSRC,记得我提交的第一个漏洞是QQ邮箱的逻辑漏洞,可以无感查看并劫持任何企业邮箱中的邮件,漏洞利用要求只需要收件人的邮箱地址,没错,是收件人,而不是发件人。当时QQ邮箱的使用量很大,如果这个漏洞被恶意攻击者发现并利用的话,不寒而栗。对于这个漏洞,某SRC给我的评分是核心业务的权限绕过,给了824个币,一个币五块钱,漏洞奖金将近4000块钱而且没有额外的奖金,联系审核人员,审核人员不回消息,联系运营,运营说漏洞评级由审核决定。
漏洞挖掘的道路很长,不研究新思路就会被淘汰。腾讯云推出了T-sec反病毒防火墙,并对自家云系统进行了先前上线后,对于手工测试但是没有研究WAF逻辑的安全研究人员来说,漏洞挖掘难度持续上涨,但大佬多的很,以至于Bypass Waf的思路层出不穷,而腾讯也巧妙地利用商业思维,花一份钱,办了两件事。也就是说,如果你挖掘到了一个开启T-sec防火墙的腾讯某业务的漏洞,那你必须要绕过T-sec才能被确认危害,而绕过产生的思路也会被用于修复WAF产品。后续也开展了几次云Waf绕过大赛,和阿里 长亭同出一辙。
2023年,市面上出现了关于Oauth劫持令牌的漏洞技巧,也就是说一个XSS漏洞本来200块钱,加上由于某些SSO系统只判断是否是子域名就回调令牌,导致一个XSS漏洞+劫持手法就能变成高危,奖金2000块钱,翻了十倍,有些白帽子甚至借此获利数十万,反观某安全部对此却采取了漠视态度,不将这种利用手法整体治理,反而通过这种漏洞方式刷业绩,挥霍大笔奖金来奖励提交这些XSS漏洞+利用思路的白帽子,与先前降本增效的印象反而截然不同。
你以为是TSRC突然良心发现,打算用高额奖金来鼓励白帽子了吗?
笔者日后提交的 例如微信某核心业务的人脸识别绕过也只是804个币,恒定的4000多块钱。
而前几天,同样的手法如出一辙,只不过不是通过利用手法来提升漏洞等级,而是利用特定业务XSS漏洞提升等级来进行TSRC收录政策的“漏洞”利用。// 根据TSRC规定,微信的某些业务只要出现XSS漏洞就最低是高危等级。
是的,一个XSS就804个币的白帽子来说,我辛苦挖掘的人脸识别绕过漏洞 等同于人家工具随手跑出来的一个XSS漏洞。
奖励计划的不公平性会导致网络安全圈内的竞争。为了争取更高的奖励,一些白帽子可能会采取不道德或者不负责任的行为,例如私下出售漏洞信息给黑客组织,从而危害了网络安全的整体利益。这种竞争势必会导致网络安全圈内的紧张氛围和信任危机,给整个行业带来了负面影响。而根本来源就是这些不负责任,不讲公平的SRC机构。
多说无益,祝大家前程似锦,虽然我们的努力和贡献被低估,得到的奖励与其预期相差甚远,愿祝我们仍爱网络安全,为网安事业添砖加瓦。
原文始发于微信公众号(墨雪飘影):百万赏金只为修复XSS的TSRC
评论