国内科技互联网企业通常是怎样看待安全漏洞的？

(注：原文首发在知乎圆桌“白帽黑客与安全”，另外微信不支持超链接，想查看其中案例细节的朋友可以点击阅读原文)

对于安全漏洞，目前国内的企业都是越来越重视了，各大企业都纷纷建立了各种SRC，从各个安全研究者手里“收购”各类安全漏洞。

拿腾讯来举例子，TSRC从2012年建立至今，每年都发放了大量的公仔奖励，Q币奖励、ipad 和 iphone，当然还有后来的现金大奖。

然而，这也许并不能反映出腾讯对“安全漏洞”的态度。不同报告来源的“安全漏洞”，得到的响应也许是不同的。本人没去过TSRC（假定那边提交漏洞得到的响应和修复是非常非常好的），所以只能拿乌云上的腾讯漏洞数据来做一些粗浅的分析了。

乌云上腾讯的漏洞数量为1393个。其中，已忽略漏洞个数424个，约占比 30%。余下的969个漏洞为已公开或已确认状态。

关于厂商回复

首先来看一个漏洞，500wan彩票站sql注入可导致注册信息泄露(WooYun-2013-043417)，当然，重点不在漏洞本身，而是这个漏洞下方的【厂商回复】那一栏，算上标点啥的，洋洋洒洒5000多字。再看看评论，白帽们的一片叫好声。恩，我想绝大多数白帽会认为，这才是一个认真在对待“安全问题”的厂商。

基于此，如果【厂商回复】能够一定程度上反映厂商对“安全漏洞“的态度，那么腾讯对待乌云上的“安全漏洞”的态度怎么样呢？

首先，我们来看看2010年-2015年，腾讯对于969个已公开或已确认状态的漏洞的回复情况，这里我们画个图，纵轴表示每个漏洞中【厂商回复】的长度，横轴则是2010-2015的每个漏洞。不同年份采用了不同颜色的点来表示。图如下所示：



从上图可以看出，2010年-2011年，腾讯对漏洞的回复都非常简短，但是总体还是粗线条，说明回复应该都还是手打的，早期的典型回复内容如下：

“感谢结节师大侠的报告”
“感谢爬爬鸭”
“Thanks”
“thx”

到2012年前期，回复长度略有增加，且有一定的长度波动，但是到了2012年后期，回复的内容长度突然出现了断层，并稳定在55～57个字符左右，出现了一条直线。我们来看看这个突然出现的回复内容长度是个什么回复？

“非常感谢您的报告。这个问题我们已经确认，正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。”

这种回复，是不是看着就很讨厌！（至少我是比较讨厌这回复的，看的太多了）而且这种讨厌的回复一直延续到了今天，并且，在2014年与2015年，你可以看到，那条直线变得更直了！！

当然这里还有一个问题，为什么2012年中间的时候，突然腾讯的回复就变成了“固定长度”模式了？

原因其实很简单：腾讯在2012年5月建立了自己的TSRC平台，其后，由于TSRC上收到的漏洞数量增加，忙着处理自己漏洞平台上的漏洞了，乌云上的漏洞回复就只能靠复制粘贴了！

相关依据：

早期出现这个55字回复的漏洞是“腾讯微博存储型XSS漏洞--看我这标题多普通5”，看看该漏洞的时间是在2012-10-17，我们再到TSRC的历史漏洞报告数据上来看看2012年TSRC收到的漏洞报告数量：

可以看到，从TSRC建立开始，漏洞数量基本上是上升趋势，到了10月份、11月份，单月漏洞报告数量已经非常多了。而乌云上，腾讯的“复制粘贴式”的漏洞回复也在这个时候出现了，我觉得这一定不是巧合！

---------------------------------

我们还可以继续解读一下这个固定长度的回复内容：

“非常感谢您的报告。这个问题我们已经确认，正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。”

这段回复在腾讯的漏洞里随处可见，包括我们团队 @张瑞冬 发现的这个 微信红包随便领(发家致富奔小康，日薪百万不是梦) 漏洞中也是得到了同样的回复。

我们看最后那一句：“如有任何新的进展我们将会及时同步”，然而，什么叫做“及时”同步呢？在这个漏洞的响应中，完全看不到“及时”二字，你会发现，2015-01-11 当天被修复的漏洞，腾讯并没有将这个“已修复”的进展“及时”同步到乌云上，而是在2015-03-05日才告知“漏洞已经在报告当天修复”！


想知道为什么是2015-03-05日才告知“漏洞已经在报告当天修复”吗？

因为，这个漏洞已经进入公开流程，3月5日那一天乌云官方微博发布了该漏洞，媒体随之转载，腾讯这才匆忙之下，补上了这条回复！


不难看出，没有一点外界压力的时候，这完全是消极怠工啊！

----------------------------------------------------------------------------

关于 Rank

上面说到的是腾讯在建立TSRC之后对漏洞的消极回复。那么这种现象，在其它SRC上是否也有所体现呢？当然，不一定是用的“消极回复”这一招，其它的一些招数，例如：“故意压低Rank值”。

在乌云上，Rank是厂商衡量漏洞重要性或危害性的一个指标，保证正常衡量一个漏洞的危害，是对漏洞报告者的尊重，也是对“安全漏洞”本身的一个态度！

当然，一般来说大厂由于有相关的安全人员，在衡量漏洞Rank这块应该还是挺专业的。假定一段时间内，所出现的漏洞危害值是在高危与低危之间浮动的，如果一旦评价出现衡量标准失衡，故意压低Rank值的情况，那么应该从Rank值的走势上看出一些端倪！

以搜狗为例，乌云上有239个搜狗的漏洞，已确认或已公开的漏洞有190个。我们爬取乌云上这190个搜狗漏洞的Rank值，依然是逐年绘制出来，得到一个线图。


从上图不难看出，SGSRC建立后不久，乌云上漏洞的Rank值突然降低到了0～5分的水平，而在建立之前，则一直浮动在5～10之间。

当然，0～5分的这段时间里，搜狗在漏洞的【厂商回复】一栏里，一直在重复下面这句话：

“收到，感谢支持，欢迎到SGSRC提交漏洞！”

个人猜想，或者不少白帽也可能会这么认为：“SGSRC想通过压低Rank来迫使白帽子到自己的SGSRC上提交漏洞！”

当然上面这个数据，要排除一种可能，就是：那段时间内，确实都是低危漏洞。

然而，我们从里面挑一个2分的漏洞看看：搜狗浏览器Android最新版UXSS(不受系统版本限制)，这个应该不止两分吧。。

再看看另外一个2分的：搜狗分站点命令执行，命令执行了，怎么能够是2分呢？


厂商的回复的原因是这样的，这句话换个姿势理解大概就是：“不来SGSRC，就给你2分！！”

值得庆幸的是，从图上看，最近搜狗的评分好像又正常一些了。

关于漏洞审核

正好微博上看到 @黑哥 说的这么一段，这也正是我想吐槽的。


昨天刚看到乌云上，腾讯忽略了一个漏洞：一个被用来抓取访客QQ的XSS（一），虽然被忽略这个漏洞，是个危害看来比较小的漏洞，但是却能够反映出一些问题！

（围观群众：你能不能不要老是黑腾讯！！）

1、从报告标题可知：这个漏洞已经是被一些产业在利用的（最近知乎上有一篇抱怨百度全家桶的帖子里，有提到，从百度点开一个网页，然后QQ就被骚扰了，其实与百度没什么关系，就是因为这类漏洞）。既然是正在被利用的，那么应该更加重视才对！然而，这个漏洞被忽略了。

2. 是漏洞不存在才被忽略的吗？答案：并不是。
这个XSS是一个通过修改COOKIE来实现的DOM XSS，笔者测试了一下。
打开页面：http://comment5.qq.com/comment_user2.htm?uin=1&uid=11090&ref=&furl=
F12打开控制台：输入 document.cookie="uin="><img src=1 OnerrOr=alert(1)>; domain=qq.com; path=/";
F5刷新页面：



看样子，这漏洞应该还是存在的，就这么轻易的被忽略了，说明了什么？说明审核人员并没有对这个漏洞进行足够的重视！

3. 也许真如黑哥微博所说，COPY一下作者提交的URL，打开，发现弹了，漏洞存在，但是这个直接打开没弹，那就是不存在了。

虽然这个“安全漏洞”是个小漏洞，但是不能因为漏洞小，而不用心去“看待”！尤其是这个小的“安全漏洞”已经被真真切切的被利用的情况下。说到底，还是个态度问题。

附：原报告中有两个漏洞，前者似乎已经被修复了，但是后者并没有被修复。后者是一个基于COOKIE的DOM XSS漏洞，单个使用并不能直接构成危害，但是结合一个可以修改QQ域下的COOKIE的漏洞，就可以被利用了（原报告中就是这么利用的）。

结语

一个漏洞的发现，可能是1分钟，但也有可能是1个月，甚至更久，不论是提交到乌云还是提交到SRC，这是发现者的自由。然而作为漏洞“享用者”的厂商，应该慎待每一个漏洞，送上一句发自内心的感谢！

头埋一夜，漏洞并非天上来，
手敲十字，感谢不用一分钟！

本文始发于微信公众号（乌云漏洞报告平台）：国内科技互联网企业通常是怎样看待安全漏洞的？