En

浅窥TSRC安全风险问题及白帽子现状

作者:meizi[TSRC]公布时间:2013-08-20阅读次数:8242评论:13

分享

一、概述

 

    TSRC平台自去年5月建立以来,共收到大约300名白帽子的反馈报告,有效安全风险问题约3500个,主要分布在5大类,尤其以Web安全风险问题较为突出,其次为PC客户端和终端客户端安全风险类型。子安全风险类型约33种,涉及业务1000个左右。本文将重点分析前三甲安全风险类型特征、TSRC白帽子地域特性等问题,供各位白帽子朋友更好地了解我们平台。



 

二、详细分析


2.1、Web安全风险


    由于Web安全风险占总数比例90%以上,其月安全风险量变化趋势与总数基本保持一致。数量较多的安全风险类型为反射型XSS、CSRF、存储型XSS、信息泄漏以及SQL注入。




2.1.1、反射型XSS


    反射型XSS细分为dom xss、flash xss以及普通反射型xss。普通反射型xss数量一直居高不下。dom xss自2012年年底扫描器优化规则以来,数量不断收敛。flash xss随着挖掘和利用手法逐渐为大家熟知,2013年以来增长明显且一直保持一定数量。



 
2.1.2、CSRF


    截至2013年6月,CSRF问题下降较为明显。TSRC成立初期,get和post请求的CSRF问题均不少,随着扫描器规则的不断完善,当前CSRF问题主要存在于POST请求。7月,由于漏洞双倍奖励的激励以及业务更新变动的原因,CSRF安全风险量突增。然而,数量随增长较为明显,但可造成蠕虫等严重危害的漏洞并不多。因此,CSRF造成的威胁趋势整体仍呈收敛态。



 
2.1.3、存储型XSS


    存储型XSS数量一直较多且居高不下,该类XSS绝大部分由于业务对输入字符的回显未做编码过滤所致。由于输出位置的不确定性,该类XSS的自动化检测是当前业界扫描器的难题。TSRC内部已采取了预防推广安全api,增强开发安全意识等措施。目前已取得了一定效果,然而由于业务的不断更新迭代以及新型业务的出现,此类问题仍然层出不穷,后续我们仍将改善扫描器并加强安全意识的宣导。



2.1.4、信息泄漏


    2012年,信息泄漏安全风险问题较为突出,今年以来,随着扫描器规则的不断更新优化,信息泄漏问题下降明显。信息泄漏问题多为源码打包下载、内网站点泄漏、测试页面泄漏、错误信息提示未关闭等。



 
2.1.5、SQL注入


    SQL注入数量波动较大。2012年,SQL注入频繁发生主要由于扫描器规则的欠缺和业务cgi覆盖遗漏占主导。2013年,由于扫描器根据外报安全风险特征,不断完善优化规则,当前漏报主要由于业务特殊逻辑和少量cgi遗漏。



 
2.2、客户端安全风险


    PC客户端和终端客户端安全风险分别占比4%和2%,数量并不多。本文将其合二为一。受客户端安全风险挖掘的特殊性,安全风险量一直并不多。尤其是双倍积分活动的情况下,数量并没有同Web安全风险数量一样剧增,反而有所下降。较为突出的风险类型为代码执行、信息泄漏以及本地Dos。






2.2.1、客户端top 3安全风险类型


    代码执行,信息泄漏在平台建设初期出现过爆发增长,2013年总体保持比较稳定的趋势。本地dos安全风险数量波动较大。


    代码执行较多存在电脑管家、QQ影音等业务,主要表现为dll劫持和堆溢出类型。dll劫持详情参看TSRC博文《DLL劫持漏洞解析》
信息泄漏较多存在于移动终端应用:ipad QQ、主要表现为各类型移动终端应用密码,聊天记录等明文存储。这类安全风险主要随着业务的不断修复闭环,收敛较为明显。


    本地dos较多存在于QQ影音、QQ音乐、QQ影像等业务,主要由于业务对特殊文件格式解析不当导致应用可直接崩溃,此类问题层出不穷。(ps:目前QQ影音和影像已经停止开发,后续都不接收此类漏洞)


 

2.3、TSRC白帽子


    平台建立一年多以来共收到了大约300名白帽子的反馈报告,这些白帽子分布范围较广,基本遍布大江南北,其中北上广深以及浙江(主要是杭州)领头。



 

三、总结


    不知不觉中,TSRC平台已线上运作一年多了。平台收录的安全风险问题,为我们改善和建设自身安全检测系统,保障腾讯业务安全做出了杰出的贡献。为此,TSRC也在不断努力,对白帽子进行人文关怀,不断更新礼品种类,努力倾听白帽子的心声等。总之,我们希望携手所有TSRC的白帽子朋友们一起为腾讯的安全保驾护航,也欢迎更多地白帽子朋友加入TSRC平台这个圈子。

 

评论留言

提交评论 您输入的漏洞名称有误,请重新输入