漏洞之我观
/ / 点击 / 阅读耗时 14 分钟在以前,可能就许多互联网厂商来说,对于漏洞都没有一个直观的认识,更别说普通的网民了。今年以来,包括这次的OpenSSL或者上次的携程、支付宝等爆出的漏洞,不管是厂商还是组件,都让大家对漏洞有了进一步的认识。从去年到今年以来,各种SRC遍地开花,各个互联网厂商都建立了自己的安全应急响应平台,然后普通网民也通过一次次的种媒体,包括央视中的各种新闻等看到了各种漏洞问题,也对安全越来越重视。那么漏洞到底是怎么回事?怎么关注最新漏洞?怎么提交漏洞呢?今天来与大家交流下我的想法。
何谓漏洞
看了那么多的新闻和文章,我想大家对漏洞应该有一个比较清楚的概念了,不过还是需要把百度对于漏洞的解释贴出来:
漏洞是指一个系统存在的弱点或缺陷,系统对特定威胁攻击或危险事件的敏感性,或进行攻击的威胁作用的可能性。漏洞可能来自应用软件或操作系统设计时的缺陷或编码时产生的错误,也可能来自业务在交互处理过程中的设计缺陷或逻辑流程上的不合理之处。这些缺陷、错误或不合理之处可能被有意或无意地利用,从而对一个组织的资产或运行造成不利影响,如信息系统被攻击或控制,重要资料被窃取,用户数据被篡改,系统被作为入侵其他主机系统的跳板。
了解的同学再加深印象,不了解的同学进行了解,错误的同学进行纠正。
没有不存在漏洞的程序,有的只是没被发现而已,更甚至人也是存在漏洞的,不然也不会有社工这门学问了。
那么什么又是漏洞利用呢?先解释几个名词:
POC:POC的全称是Proof Of Concept,翻译成中文就是概念或者观点验证。那么相对漏洞来说,就是漏洞验证程序,通过运行程序,得到预期的结果,也就证明了漏洞存在。 EXP:EXP的全称是Exploit,就漏洞里来解释就是漏洞利用程序。
两者是有区别的,相信大家可以看的出来。回到问题,什么是漏洞利用呢?像昨天文章里讲到的POC其实就如刚才的解释一样,是验证漏洞是否存在,而漏洞的利用,就是利用存在的漏洞来达到一定的目的,比如获得管理员帐号密码等。
漏洞的关注
这次的OpenSSL漏洞的爆发,也许有人就会想问,大家是从哪里知道漏洞信息的?简单给大家介绍一些方法和资源。首先对于搞安全的人来说,自然而然会关注一些漏洞平台,如国内的wooyun(www.wooyun.org),再或者国外的exploit-db(www.exploit-db.com),再者是关注一些安全公司及安全大牛的的blog等。一般除了能在那些漏洞平台看到最新的漏洞之外,一些安全公司再或者安全大牛有时也会在自己的blog之类的发布自己发现的一些最新的漏洞;再或者是一些邮件或者RSS源的订阅,与关注blog的道理是类似的。
我找了一些网址资源,大家可以看看,微信观看的同学可以点击左下角查看原文下载查看,知乎的同学直接以下链接:
里面有cos的RSS资源,可以用鲜果阅读器导入,或者直接邮件以文本文档的方式打开就可以看到内容了。
漏洞的挖掘
之前有写过一篇文章《我也想找漏洞》(http://mp.weixin.qq.com/s?__biz=MzA4NzM5MTUzOQ==&mid=200276922&idx=1&sn=f314dca26dcd252fde4f7365f461b76a#rd),大家可以看看,这篇文章里我记得我讲了学习挖掘漏洞的一些思想,有提到现在各种厂商的各种漏洞提交平台与各种奖励等等,我想很多同学都很心动,也很想学习漏洞的挖掘,具体我就不多说了,这是一门大学问,大家可以看看我之前的文章,然后自己看一些书,不过更多的要多实践,具体我就不多说了。
漏洞的提交
既然讲到挖漏洞,那么就不得不讲讲漏洞的提交(排除不提交的情况)。现在各种SRC林立(详情可见http://www.0xsafe.com),再或者也有360库带计划、sebug或者wooyun再或者国家信息安全漏洞共享平台。那么又怎么提交漏洞呢?
其实我的看法是看个人,比如我,如果找到了漏洞,一般我会先通过厂商的漏洞提交方式提交漏洞,邮箱或者漏洞平台等,如果厂商没有自己的漏洞提交方式,那么我会选择提交到wooyun,而对于组件漏洞等,我会提交到wooyun或者其他方式。
有些人可能提交漏洞只是为了提交,有些是为了知名度,有些是为了荣誉,各种理由都有,其实现在各个平台都有奖励计划,所以可以说是名利双收。不管是基于什么理由,再或者不提交漏洞,反正我觉得这完全取决于个人。
那么如何选择合适的漏洞提交平台?就从获得奖品来说,分享几点经验,我想这是大家比较关注的。
- 对于危害比较小的,比如反射型XSS,如果在wooyun提交一般不会通过,而如果在对应厂商的漏洞提交平台提交,肯定通过。
- 一般来说,如果是大厂商的漏洞,有自己的漏洞平台,直接提交可能会获得奖励更多点,不过影响会小点,如果厂商实行排名机制,没提交够一定量(包括数量和质量)的漏洞,很难获得比较好的奖品,不过也要看厂商,有些厂商比较大方,排名低的奖品也还不错;如果厂商是积分兑换方式的,就先看看厂商的奖励计划,比如一个XSS能有多少积分,多少积分又能换什么奖品等。
- 如果是想影响大一点,就提交到公共漏洞平台,如wooyun,像之前的支付宝漏洞,如果提交到ASRC,估计最多就是一个重要漏洞,最多给你几十分或者特别奖励个ipad,而因为提交到wooyun,被爆到微博,很多人关注,影响变大了,就变成是十万的奖励了,当然这不是鼓励大家这样做。
- 如果是荣誉出发,提交到国家漏洞平台,是有漏洞提交证明的,还是国家性质的。不过现在部分厂商的SRC也有发证书的奖励,如腾讯等。
- 其他的话,就我提交过漏洞的平台来说(没提交过的不了解),腾讯的TSRC会在逢年过节发短信祝福,然后送文化衫等;而新浪的SSRC会在每次送奖励的同时附带一张明信片,感觉比较贴心。。。等等
其实就提交漏洞而言,以上讲的有点太现实,把提交漏洞跟利益挂钩了。这个还是看个人,也看厂商,个人爱选择什么方式就选择什么方式,然后厂商的奖励也是看厂商怎么决定的,其实厂商也是为了鼓励白帽子找漏洞才奖励的,也是对安全的重视才肯花钱。反正就看大家自己了,就不多说了。
结语
跟大家大概的聊了聊漏洞相关的东西,其实更多的还是靠大家自己的学习跟探索,还是用黑哥那句话,整就牛,想学什么,想知道什么,我还是鼓励大家自己动手去搜索,去看,去学。