互联网企业理应重视安全漏洞

2015-12-05 02:32童斐

｜文/童斐

互联网企业理应重视安全漏洞

｜文/童斐

一般来说大厂由于有相关的安全人员，在衡量漏洞危险等级方面应该还是挺专业的。可搜狗安全应急响应中心建立后不久，乌云上漏洞的Rank值突然降低到了0-5分的水平，而在建立之前，则一直浮动在5-10之间。

对于互联网安全漏洞，目前中国企业都越来越重视。各大企业都纷纷建立了各种SRC（漏洞报告平台），从各个安全研究者手里“收购”各类安全漏洞。

拿腾讯来举例子，并以第三方互联网漏洞平台乌云上的数据来做一些说明。乌云上腾讯的漏洞数量为1393个。其中，已忽略漏洞个数424个，已公开或已确认状态漏洞969个。

厂商回复：从5000字到50字

首先来看一个漏洞，500wan彩票站SQL注入可导致注册信息泄露。当然，重点不在漏洞本身，而是这个漏洞的厂商回复，洋洋洒洒5000多字。再看看评论，白帽子们一片叫好声。我想绝大多数白帽会认为，这才是一个认真在对待“安全问题”的厂商。

如果“厂商回复”能够一定程度上反映厂商对“安全漏洞“的态度，那么腾讯对待乌云上的“安全漏洞”的态度怎么样呢？

我们来看看2010年至2015年，腾讯对于969个已公开或已确认状态的漏洞的回复情况，这里我们画个图，纵轴表示每个漏洞中厂商回复的长度，横轴则是2010至2015年的每个漏洞。不同年份采用了不同颜色的点来表示。

可以看出，2010-2011年，腾讯对漏洞的回复都非常简短，早期的典型回复内容如下：

“感谢结节师大侠的报告”、“Thanks”、“thx”。

到2012年前期，回复长度略有增加，且有一定的长度波动，但是到了2012年后期，回复的内容长度突然出现了断层，并稳定在55至57个字符。

原因其实很简单：腾讯在2012年5月建立了自己的腾讯安全应急响应中心，其后，由于响应中心上收到的漏洞数量增加，忙着处理自己漏洞平台上的漏洞，第三方平台上的漏洞回复就只能靠复制粘贴了。

在漏洞提交平台上，Rank是厂商衡量漏洞重要性或危害性的一个指标，保证正常衡量一个漏洞的危害，是对漏洞报告者的尊重，也是对“安全漏洞”本身的一个态度。

一般来说大厂由于有相关的安全人员，在衡量漏洞危险等级方面应该还是挺专业的。假定一段时间内，所出现的漏洞危害值是在高危与低危之间浮动的，如果一旦评价出现衡量标准失衡，故意压低Rank值的情况，那么应该从Rank值的走势上可以看出一些端倪。

以搜狗为例，互联网漏洞平台乌云上有239个搜狗的漏洞，已确认或已公开的漏洞有190个。我们爬取乌云上这190个搜狗漏洞的Rank值，得到一个线图。

从图中不难看出，搜狗安全应急响应中心建立后不久，乌云上漏洞的Rank值突然降低到了0-5分的水平，而在建立之前，则一直浮动在5-10之间。

关于这一点，举个腾讯忽略的漏洞：一个被用来抓取访客QQ的XSS。虽然被忽略的这个漏洞看来危害比较小，但是却能够反映出一些问题。

从报告标题可知：这个漏洞已经是被一些产业在利用的。既然是正在被利用的，那么应该更加重视才对。然而，这个漏洞被忽略了。

是漏洞不存在才被忽略的吗？答案并不是。

说明审核人员并没有对这个漏洞进行足够的重视。

说到底，还是个态度问题。