一般來說大廠由于有相關的安全人員,在衡量漏洞危險等級方面應該還是挺專業的。可搜狗安全應急響應中心建立後不久,烏雲上漏洞的Rank值突然降低到了0-5分的水平,而在建立之前,則一直浮動在5-10之間。
文/童斐
作者系互聯網漏洞平台知名“白帽子”。
對于互聯網安全漏洞,目前中國企業都越來越重視。各大企業都紛紛建立了各種SRC(漏洞報告平台),從各個安全研究者手裡“收購”各類安全漏洞。
拿騰訊來舉例子,并以第三方互聯網漏洞平台烏雲上的數據來做一些說明。烏雲上騰訊的漏洞數量為1393個。其中,已忽略漏洞個數424個,已公開或已确認狀态漏洞969個。
廠商回複:從5000字到50字
首先來看一個漏洞,500wan彩票站SQL注入可導緻注冊信息洩露。當然,重點不在漏洞本身,而是這個漏洞的廠商回複,洋洋灑灑5000多字。再看看評論,白帽子們一片叫好聲。我想絕大多數白帽會認為,這才是一個認真在對待“安全問題”的廠商。
如果“廠商回複”能夠一定程度上反映廠商對“安全漏洞“的态度,那麼騰訊對待烏雲上的“安全漏洞”的态度怎麼樣呢?
我們來看看2010年至2015年,騰訊對于969個已公開或已确認狀态的漏洞的回複情況,這裡我們畫個圖,縱軸表示每個漏洞中廠商回複的長度,橫軸則是2010至2015年的每個漏洞。不同年份采用了不同顔色的點來表示。