关于漏洞处理机制的改进讨论

  • A+
所属分类:WooYun-Zone

经常有很多的筒子过来问漏洞为什么没有通过审核,主要原因有如下几点:

1 漏洞描述很不详细,无法定位和帮助企业管理人员(大部分的企业是很难判断安全问题的严重性的,更何况去彻底排查和修复安全漏洞)

2 我们尽量尽我们最大的努力去联系和处理安全问题(在坚持乌云现有原则下),但是有些网站我们的确不确定是否能够联系上能够处理的人,即使联系上很多实际上不具备处理安全问题的能力,这可能导致问题最终没有彻底修复而导致问题

3 我们坚持认为安全问题的严重与否应该按照能够影响的敏感数据以及多大机率影响用户敏感数据(这点在众测里得到了厂商的认同),所以很多的漏洞我们也无法直接在乌云上显示,因为我们同样系统乌云除了一个报告平台同样是一个学习平台,这点希望大家能够理解和原谅。

我们甚至做出了高校版来处理这些问题,但做完之后的确证明第二个问题的存在,同样我们非常理解一个漏洞不能够被确认的痛苦,这并不表示我们对你的努力不认同,所以我想是否可以改进机制,我们将无法直接联系和无法确认能够联系到厂商的漏洞(对于严重的影响较大的安全问题依然保持现有等待认领机制不变)放到后台数据库,在能够联系上厂商之前并不公开,直到厂商确认和修复后才公开,我们同样会扩充乌云处理安全问题的渠道,以尽一切可能的将这些重要信息传达到需要关注的人

  1. 1#

    missdiog | 2013-01-24 11:39

    关键是审核不通过的,还不能再次修改,必须重新再写一遍,再提交。太麻烦了

  2. 2#

    missdiog | 2013-01-24 11:40

    1 漏洞描述很不详细,无法定位和帮助企业管理人员
    针对这条,审核不通过的漏洞,漏洞提交者可以在后台再次编辑,描述清楚后再提交。

  3. 3#

    xsser | 2013-01-24 11:41

    @missdiog 收到

  4. 4#

    Jannock | 2013-01-24 11:55

    支持。。。。
    在审核不通过漏洞修改方面,还是要改进。。这同意。。

  5. 5#

    zeracker | 2013-01-24 12:06

    对漏洞敏感信息适当屏蔽处理,往往泄露了一些敏感信息会让业务部门的朋友很为难。

  6. 6#

    Passer_by (腾讯微博的Passer-by不是我) | 2013-01-24 12:07

    还有未审核的那些。。可以推到审核不通过。。。

  7. 7#

    xsser | 2013-01-24 12:16

    @Passer_by 未审核那些会推到后台,但是前台不显示,等待负责方确认和修复之后再公开

  8. 8#

    se55i0n (那些年,我们一起看的岛国动作片~) | 2013-01-24 12:27

    @xsser 审核不通过的洞子,至少可以对作者自己开放浏览吧~

  9. 9#

    小胖胖要减肥 | 2013-01-24 12:38

    @xsser 这条是不是可以人为wooyun没有审核的漏洞,厂商也能看到,厂商可以直接进行确认,但这个时候乌云前台不会看到,因为从业务还是其他角度大家对漏洞的理解不同,影响程度理解也不同

  10. 10#

    xsser | 2013-01-24 12:40

    @小胖胖要减肥 可以这么认为,但是乌云为漏洞质量把关,譬如你写一个标题没内容的肯定不会过了,而且值得注意的一点是一些高校 中小企业站点也可以接受了

  11. 11#

    雅柏菲卡 (万物有灵,切忌污损。。。。。。) | 2013-01-24 13:11

    我觉得先通审
    然后联系上级单位  然后由上级单位确认并联系下属单位进行处理(曾经我发现北仑区统计局的网站出了很多黑链  我直接联系宁波统计局  然后宁波统计局下发给北仑统计局)
    若实在不行  直接上报给国家 让国家有关部门处理 一般都不会有什么问题。

  12. 12#

    xsser | 2013-01-24 13:14

    @雅柏菲卡 也有好多学校啊 小企业之类

  13. 13#

    xyhk5558 | 2013-01-24 13:14

    @xsser在吗?

  14. 14#

    xyhk5558 | 2013-01-24 13:16

    @xsser 发布漏洞能重新编辑下吗

  15. 15#

    雅柏菲卡 (万物有灵,切忌污损。。。。。。) | 2013-01-24 13:16

    如果是学校 小企业 也通审
    然后统一收集 数量达到一定数额集体上报  
    但是公开期限设定为不固定时限公开 (即:什么时候确认、修复 什么时候公开  以修复时间为准)

  16. 16#

    雅柏菲卡 (万物有灵,切忌污损。。。。。。) | 2013-01-24 13:19

    还可以设立比如说  疑难寻涉事单位区    这样既不会导致未审核积压过多 难以处理   (就有些像公安的疑难案件一样  都要串并什么的)

  17. 17#

    雅柏菲卡 (万物有灵,切忌污损。。。。。。) | 2013-01-24 13:35

    @xsser 你觉得我的方法如何

  18. 18#

    Rookie | 2013-01-24 13:43

    @xsser 厂商那里也要修改.免得漏洞发出来 厂商故意或者种种原因忽略..忽略后在修补.这样对漏洞提交者不公平.

  19. 19#

    xsser | 2013-01-24 14:07

    @雅柏菲卡 我们打算建立一个更顺畅的渠道,譬如用户可以用api在博客或者网站里嵌入乌云的查询接口,这样一旦有问题如果关心的话 大家就可以第一时间知道并且认领

  20. 20#

    xsser | 2013-01-24 14:08

    @Rookie 厂商那边他们有自己的考虑的,我们会对忽略的另外进行处理加rank(目前由于人手原因的确会很慢,但是这个事情一直在做)

  21. 21#

    乌帽子 (业精于勤而荒于嬉,行成于思而毁于随。) | 2013-01-24 18:02

    乌云真好,我希望可以看着他长大成人娶妻生子~

  22. 22#

    px1624 (aaaaaaaaa) | 2013-01-24 20:13

    乌云的厂商的漏洞感觉还是应该给通过,不管是大厂商还是小厂商,人家既然来了乌云,就是想第一时间了解自己网站的洞洞。还有就是看到有个人那个rank刷的是牛逼,一个反射型的xss,其中3个参数可以插代码,他把三个参数分开都提交了一遍,还都是通过了,厂商每个给了10rank、、、这。。。

  23. 23#

    px1624 (aaaaaaaaa) | 2013-01-24 20:15

    其实审核的时候,最好加个功能,就是厂商也可以去审核自己的漏洞。可以选择直接忽略或者通过确认给rank,多好,直接就到了厂商认领那步了,同时也可以给乌云的审核减少压力。各个厂商可以审核自己公司的漏洞

  24. 24#

    xsser | 2013-01-24 20:52

    @px1624 你说的早期吧 后期审核比较严厉了

  25. 25#

    px1624 (aaaaaaaaa) | 2013-01-24 22:00

    @xsser 是啊,有好几个洞,一个月都还么给过、、、>_<|||

  26. 26#

    雅柏菲卡 (万物有灵,切忌污损。。。。。。) | 2013-01-25 01:05

    @xsser 以后直接联系涉事单位的上级来处理 就不愁找不到人了

  27. 27#

    雅柏菲卡 (万物有灵,切忌污损。。。。。。) | 2013-01-25 06:11

    @xsser 我举个例子
    就拿学校来说  
    如果某地的高中的网站有问题  而确定是在教育局有登记的  可以由教育局代为通知
    如果是企业的话
    可以由企业注册单位的比如说工商局、公安局代为传达
    如果是不知名的小站  
    可以让cncert查询是哪儿的  下发到涉事网站的网监科  有网监科进行传达。

  28. 28#

    小威 | 2013-01-25 09:23

    发布的洞子老长时间都不给过  这个最头疼~

  29. 29#

    Passer_by (腾讯微博的Passer-by不是我) | 2013-01-25 09:39

    @xsser “未审核那些会推到后台,但是前台不显示,等待负责方确认和修复之后再公开”
    嗯,我的意思是推到不通过,这样我们就可以编辑了。。

  30. 30#

    雅柏菲卡 (万物有灵,切忌污损。。。。。。) | 2013-01-25 09:53

    @xsser 一般审核漏洞许多久

  31. 31#

    Shell | 2013-01-25 18:49

    @雅柏菲卡 我19号提交的俩到今天都还是未审核

  32. 32#

    冰锋刺客 (往日不可追) | 2013-01-25 21:20

    学校的漏洞有必要提交吗,都是一群学生在运营。除了会导致学籍信息泄露的漏洞,其他的一律不重要吧。

  33. 33#

    xsser | 2013-01-28 12:36

    @冰锋刺客 可以提交 但是在后台存储

  34. 34#

    雅柏菲卡 (万物有灵,切忌污损。。。。。。) | 2013-01-29 08:37

    @xsser 设立疑难区吧  和快递 一样疑难件之类的

  35. 35#

    雅柏菲卡 (万物有灵,切忌污损。。。。。。) | 2013-02-01 14:59

    @xsser 为何关于淘宝网的用户售卖非法的用品的  还未审核完啊?

  36. 36#

    小威 | 2013-02-01 17:33

    @雅柏菲卡 卖非法用品也是漏洞?

  37. 37#

    雅柏菲卡 (万物有灵,切忌污损。。。。。。) | 2013-02-01 21:27

    @小威 关键的是淘宝审核机制有问题

  38. 38#

    chord | 2013-02-01 22:07

    @xsser 我的蜗牛帮XSS漏洞到现在还没审核…这次是补发上次的问题,这次直接盗取COOKIE上号了~够明显了

  39. 39#

    px1624 (aaaaaaaaa) | 2013-02-02 09:22

    @chord 厂商么啥名气~

  40. 40#

    chord | 2013-02-02 09:43

    @px1624 呃..好吧

  41. 41#

    雅柏菲卡 (万物有灵,切忌污损。。。。。。) | 2013-02-24 22:26

    @xsser  何时能审核完呢?

  42. 42#

    piaox | 2013-04-15 21:44

    审核僵死状态,也适当告知下白帽子,等星星等的眼水都是湿了。

  43. 43#

    iiiiiiiii | 2013-04-15 22:37

    我这几天发的漏洞都没给过啊 有2个还是CNVD官方的友情链接 政府的- -!@xsser