吐槽国内各大公司的漏洞报告平台

  • A+
所属分类:业界关注

先自我介绍下,笔者入安全圈已近十载,目前在某金融单位负责渗透测试工作。最近一年随着各大公司的漏洞报告平台搞得如火如荼,因为笔者单位可能也要搞类似的项目,所以笔者就把各大公司的平台全部体验了一遍,根据这些漏经历,吐槽下各大公司的漏洞平台。

一、腾讯安全应急中心(TSRC)

吐槽国内各大公司的漏洞报告平台

网址:http://security.tencent.com

   
TSRC算是最早成立的厂商漏洞平台,它的一些漏洞评分规则、奖励策略,甚至是站点设计,也被后面一些其它公司所效仿。

   
给TSRC提交过不少漏洞,web的也有,客户端的也有。WEB漏洞处理速度有时挺快,客户端的可能相对慢些,可能是测试原因。有时一个xss报上去,没多久就确认并修复,但有时一些逻辑漏洞报上去,磨叽好几天还没审核,这里不得不BS下TX。有时候处理者不明白的地方还会QQ上跟你反复确认沟通,这点还不错。

   
白帽子报漏洞,其实也大多是为奖品而来的,这里有必要说下奖励制度。TSRC是采用积分制度的,积分又按漏洞危害等级的不同,将积分乘以相应的权值得到安全币,再用安全币换相应礼品,现在其它漏洞平台也逐步采用了这种奖励制度,但他们是直接使用积分兑换的,所以整体来看,TX的安全币冒似比其它平台更值几块大洋,后面也会说到其它平台的奖励制度,呆会再吐槽下。

反正我的感觉还好,我记得08年那会儿,ben还在腾讯的时候,我给腾讯报了几个漏洞,后来只收到一个QQ公仔感谢;TSRC平台出来后,我算了一下,我拿到手的东西也差不多有几千。虽然几千块没多少,但是心里面会舒服一些。

二、网易安全中心

吐槽国内各大公司的漏洞报告平台

   
网址:http://aq.163.com

   
第二个成立的漏洞平台,其实第二个应该是人人网,但那只是个摆设,并没有真正运营起来,也没啥人报,不提也罢。

   
一提网易,不得不先吐槽下其“通货膨胀”的积分制度,那评分是积分乘以相应危害等级的立方倍,月初没几天就可以刷几千分,最终都是刷个上万分,一般人在月初看到这种情况,啥漏洞提交的欲望都没了。6月份的积分终于改邪归正,回到正常轨道了。

   
再来谈下网易的奖励制度,首月只有19名获取,后面一排4G U盘的的,20及之后的全都无奖励,白提交漏洞了,对这帮孩子深表同情。从第一名ipad4开始,其它奖品就一落千丈了,确实跟TX没法比。到了第二个月奖励时,那没得到的奖励的白帽子,甚至都没在感谢名单里面(后面又补上了),这是对白帽子的不认可啊,很容易引起公愤的,网易的童鞋们。

   
沟通问题一直是各漏洞平台的一大问题,有时可能未曾沟通就直接忽略漏洞,京东冒似好点,初期还会Q上沟通下。

   
对网易平台只有一个心愿:赶紧提高奖品质量,多些给力的奖品,同时让所有报漏洞的人都能获得奖品,避免分赃不均!

三、京东安全应急响应中心(JSRC)

吐槽国内各大公司的漏洞报告平台

   
网址:http://security.jd.com

   
对于JSRC平台,感觉上线有点急了,因为站点很多功能都没完善,很多bug,据说开发者是边学php边写代码的。平台的显示也有不少问题,看那css代码,估计也都是抄TSRC的。排行榜上只记录最近一个月的白帽子,之前的都查看不了。还有白帽子提交的漏洞,提交者都没法查看,目前是改进这问题了。最近刚上的JSRC 2.0版本已经改进不少,但平台功能还有待完善。

   
有关注JSRC的朋友都应该知道,京东首月奖品奖励就发给3个人,雷蛇三件套拆分成三份,前三名一人分一个,其它漏洞提交者无奖品、无公告感谢,不够人道啊!上面很多奖品都只成了摆设,要拿iphone5,你就得提交90个webshell来换,最初刚出来的时候要更多。京东站点本来就少,且各站点大多是卖东西,长得都差不多,一个人要拿90个webshell,这要猴年马月啊。要知道,腾讯的一些重点业务,找到个能拿webshell的严重漏洞基本上就等于是一个ipad,差距太大了,京东需要加大奖品的资金投入啊!

   
还就是JSRC在漏洞处理速度上略显有点慢。

   
京东的评分机制也大多是参考TSRC的,对比下他们各自的评分标准就知道了,不过在评分方面,我觉得京东还是挺合理的,因为他们直接借鉴了TSRC,避免重蹈TSRC的覆辙。虽然,JSRC平台做得比较差,但他们向TSRC学习的决心,还是值得鼓励的,希望后续能够得到更大完善。

四、百度安全响应中心(BSRC)

吐槽国内各大公司的漏洞报告平台

   
网址:http://sec.baidu.com

   
百度的平台跟京东的一样挫,,笔者觉得有必要来细数下BSRC的三重罪。

   
第一罪:沟通问题。白帽子提交有效漏洞后,未经任何沟通直接忽略,导致引起公愤,在微博上直接被白帽子点名批评。随后BSRC还发公告说明这是漏洞重复提交导致的,后面已增加评论功能了,但做得很粗糙,显示效果也不好。像TSRC搞的QQ临时在线沟通方法挺不错的,可以参考下。

   
第二罪:评分问题。百度的评分标准是这样的:高危(40~150)、中危(10~60)、低危(1~25,各等级分数之间都有交叉,且每一等级的评分范围都很广,基本没有给定确切的评分标准,百度管理员随意操作分数的空间相当之大。一个CSRF给1分,跟路径泄露等同,这价值观问题就体现出来了。一个XSS也都是低危中的7、8分而已,运气好可能还能拿个10分,反正评分标准也没有细说。一个可操作数据库的SQL注入40分,这是目前百度给出的最高分,也就是说,目前所有百度漏洞都只是“中危中的中危”而已,其实我很想知道,百度的150分是长什么样子的,可以约等同4个高危SQL注入。另外,在BSRC平台上,深深地感觉到一种“搞WEB鄙视搞BIN”的力量,各种客户端漏洞全都给低危,有一哥们提交了一些漏洞都是给2分、7分之类的,还不如一个XSS;还有一哥们提交内核DDOS直接忽略了。他们的“评分标准”对各种客户端漏洞说明甚少,只看到个缓冲区溢出、获取系统客户端权限等字眼,描述明显不到位。最初看他们给的礼品兑换积分,感觉冒似比TX低一些,但后面看百度给的评分,就知道他们跟TSRC差得太远了,比如高危SQL注入,百度给40分,腾讯是给90安全币,之间的差距已经无需言明。

   
第三罪:平台兼容问题。笔者用chrome提交漏洞的时候,提交不上,查看“最新动态”、“已提交漏洞”全部都不成功,用系统自带的IE也不行,最后才发现BSRC只有对FireFox的支持稳定些,真是个奇葩平台。BSRC平台开发时居然没有对浏览器的兼容性进行测试,对主流浏览器都不支持的平台想提交漏洞都提交不了。BSRC上面的链接都不用来跳转,一后退就得重新打开了,基本上漏洞平台上能体现的各种问题都让BSRC表现得淋漓尽致。

五、360安全漏洞响应平台

吐槽国内各大公司的漏洞报告平台

   
网址:http://vulreport.360.cn

   
自称世界第一大互联网安全公司的360是有一个收购第三方产品漏洞的平台,叫第三方漏洞收集平台,但今天我们主要是对比厂商自家漏洞的响应平台,那个花钱买别人漏洞的事就不提了。笔者比较奇怪的是,自家产品漏洞平台的提交居然是只能邮件提交的,而第三方漏洞收集平台反而允许直接在平台上提交的,所以它这平台不算是一个完整的漏洞平台。对于360值得肯定的一点就是,他们给的漏洞奖金确实不错,但之前一些WEB漏洞因为量太多,反而突然“降价”了,在百度搜索缓存里还可以找到“蛛丝马迹”的。

通过邮件提交漏洞,那速度可想而知了,大都得等个3天才会回复,处理时间也会比较长。之前一哥们提交了一些360压缩图片查看器的crash,公告一出来全都写“远程代码执行漏洞”,不知道360是否故意这样写以迷惑广大群众,还是根本就没本分析,直接扔这么个名称出来。他们这平台基本没用户交互,一个不完整的漏洞响应平台就没啥值得可吐槽的了。

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: