【TSRC编者按】
随着众包(Crowd-sourcing)模式的兴起和发展,安全测试也进入了这一领域。对于中小企业来说,使用众包模式进行安全测试,相对自行组建安全团队或者购买安全服务更能节约成本,提高效率。
目前国内有三大安全众测平台:乌云众测、漏洞盒子、Sobug白帽众测。为了对国内的安全众测平台进行体验和支持,腾讯安全应急响应中心(TSRC)特别与三大平台进行了合作,完成了本报告,供对该领域感兴趣的读者参考。
一)概述
所谓安全众测,就是众包(Crowd-sourcing)模式在安全测试领域的一种表现。也就是企业把自己的产品给到安全众测平台,由平台的安全人员(这些安全人员也不隶属平台,而是来自互联网)进行安全测试。
这种众包模式对没有自己的安全团队的中小企业帮助较大,可以低成本地发现和修复安全问题。对于有自己的安全团队的大型企业,也非常有用,第三方的安全测试报告可以帮助安全团队从另外的角度审视自己的能力和系统。
如果按照上述定义,腾讯安全应急响应中心(TSRC)的漏洞提交平台( http://security.tencent.com )也算是一个厂商自己的安全众测平台,不过没有固定的项目,而是所有产品线无限期参与众测。
本文关注的是国内的第三方安全众测平台。目前国内有三家第三方安全众测平台:乌云众测、漏洞盒子和Sobug,为了对这些创业团队表示支持及对众测模式的探索,TSRC分别与三家平台达成了合作:我们各给出一款产品给到它们进行测试,TSRC以参与企业的角度输出这份体验报告。
那么,开始我们的安全众测平台体验之旅吧。
二)乌云众测
图1 乌云众测平台宣传图
乌云众测(http://ce.wooyun.org )是国内著名漏洞报告平台乌云网(http://www.wooyun.org )的一个新的业务,它依托乌云平台上的优秀白帽子来进行安全测试工作,也是国内第一家安全众测平台,无论是从参与测试的人数还是参与人员的能力上来看,乌云众测应该都是目前国内比较强的。
先从帐号注册说起。
乌云众测是直接给厂商提供帐号和密码的,期间未见到其它的验证流程(身份鉴别),如果有冒充第三方厂商的恶意者,可能会存在一定风险。当然在早期可以人工审核,未来业务量大起来,可能就要考虑自动化验证了。
从登录帐号起,乌云众测全程都未使用HTTPS传输,链路传输中容易被窃听,这点让对漏洞信息高度敏感的厂商比较介意。期望后续能够采用HTTPS传输。
然后是体验问题。
当有白帽子提交漏洞时,乌云众测会发系统消息提醒企业。最初乌云众测并没有直接的漏洞查看功能,后来添加了漏洞列表菜单,可惜又不是独立页面,而是躲在评估项目页面最下方一个不起眼的地方,不小心就忽视了,特别是对于漏洞审核者,在审核时确实有很多不便。这点在用户体验上确实有待改进。
图2 乌云众测平台消息提醒界面
白帽子提交漏洞后,乌云众测官方并不作审核,即使是重复提交或者提交的内容根本不是漏洞(比如抱怨产品用户体验差),都会直接反馈给厂商。
图3 与安全问题无关的提交示例
厂商在乌云众测上确认漏洞时,是无法直接给漏洞评级的。开始只有两个选项:“忽略”或者“确认”。必须在确认漏洞之后,原先的“忽略”才会变成评级按钮,可能部分厂商起初都会以为乌云众测上没漏洞评级功能(TSRC的几个小伙伴就这样中招了)。
建议将“确认”操作与“漏洞评级”结合在一个操作上。
乌云众测基本是按照“漏洞确认”、“漏洞沟通”、“评级沟通”、“最终评级”这样的流程来评定漏洞等级的,最终的评级由厂商、白帽子、平台三方共同讨论决定。虽然理解这是出于公平性的考虑,但是三方意见不容易一致,将会耗用较多的人力,拖慢审核进度。
再来看看与白帽子的沟通便捷性。
乌云众测主要通过评论的方式与参与的白帽子沟通,也无私信的方式,沟通成本稍高。
这里再啰嗦一下供参考。因为TSRC在运营腾讯漏洞报告平台的过程中发现,大部分跟白帽子的分歧都是可以通过及时沟通解决的,所以TSRC特别重视跟白帽子的沟通,除了提供私信的方式之外,TSRC还在每个漏洞报告里都提供漏洞处理人员、当日值班工作人员、白帽子的一键QQ联系按钮,方便及时沟通解决问题,建议其它平台也可以参考之。
接下来的阶段就是结算奖金。按最初的与乌云的商定协议是跟TSRC平台的奖励机制保持一致,TSRC也是为了维持两边的白帽子利益的公平性,所以评分完全参考TSRC官网PDF标准,安全币和人民币以1:4的比例进行兑换,重点鼓励高质量漏洞(额外1~10万的奖励),对此双方均表示同意。
最后在与乌云众测结算奖金时,双方出现了意见分歧:乌云认为低危问题至少要奖励1000元,中危问题至少要奖励5000元;而我们则希望秉承“公平公正公开”的原则,坚持按照已确定的TSRC标准评定(也就是“程序正义”。只有先做到“程序正义”,才会有“结果正义”)。因此,建议厂商在参与安全众测前,充分沟通好相关事宜并签定书面合同,避免后期的分歧。
值得肯定的是,虽然出现了分歧,但乌云众测方面决定按照自有规则补齐白帽子奖金的差额。我们可以看到,乌云对白帽子利益非常重视,甚至愿意牺牲自己的利益来弥补这里的损失。
最后,乌云众测上发现的漏洞细节不会对外公开。
三)漏洞盒子
图4 漏洞盒子宣传图
漏洞盒子(https://www.vulbox.com )是国内著名的安全媒体Freebuf( http://www.freebuf.com)推出的漏洞发现与处理平台。它依托Freebuf,影响力和能力也非常强大,漏洞盒子也是目前唯一有国外白帽子的众包安全测试平台。
依然从帐号注册谈起。
厂商需要先在平台上注册,然后由漏洞盒子发送激活邮件到厂商的注册邮箱,点击激活后才可使用,这里的注册流程相对来说要完善一些。
漏洞盒子的站点是走HTTPS加密协议的,厂商再也不担心传输的安全啦。
图5 漏洞盒子的HTTPS协议
再来看用户体验。
当有白帽子提交漏洞后,除了会发送站点消息外,还会另外向注册邮箱发送提醒邮件,相对比较人性化。因为多数情况下,厂商无法一直都盯着众测站点刷新,邮件提醒可以有效地帮助厂商及时处理漏洞,也更节省大家的时间成本。
图6 漏洞盒子的提醒邮件
在漏洞盒子上面,厂商可以清晰地看到本次参与众测的白帽子们,一来方便厂商了解测试人员的情况,二来如果遇到高质量漏洞,还可以挖挖人,平台也不失为一个好的“人才中介所”。
图7 漏洞盒子的参与白帽子们
不过对于白帽子的沟通方式上,仍然以评论功能为主,不方便。在此不再赘述。
漏洞盒子上还有国外白帽子参与测试,提交的报告内容全是英文的,最初我们以为只是香港等地区的白帽子,后来证实确实是老外。
漏洞盒子官方对于漏洞的审核还不够严格,基本也是扮演“中介”的角色。
漏洞盒子上面有单独的“我的漏洞”查看页面,方便厂商了解整体的漏洞情况,以及各个漏洞的审核进度,这点做得不错。
图8 漏洞盒子的“我的漏洞”页面
厂商在漏洞盒子上确认漏洞时,漏洞等级完全由报告者指定,厂商必须在关闭漏洞(相当于漏洞修复)后才能设置等级及赏金,然后由漏洞盒子官方先付钱给白帽子。
在这个过程会有一个问题,就是确认漏洞后,白帽子一般会急于知道赏金额度,而厂商修复漏洞需要一定时间。此时白帽子可能会不停地催促询问漏洞盒子官方,而官方又来催厂商,导致相互磨耗双方的人力和时间。因此建议厂商在确认漏洞的时候,可以设置等级以及赏金额度,这时赏金没有给到白帽子(仅做告知作用),在厂商点击“关闭漏洞”(建议改成“漏洞已修复”)后,最终钱才会给到白帽子。
最后又到了结算时间。由于最后的赏金金额问题,双方又产生了分歧,原因同乌云众测。建议仍然是项目进行前双方在合同中明确规定各种情况,避免分歧。
另外,漏洞盒子的众测模式还有点不一样,它有个概念叫“常驻”,意思是厂商可以常驻平台,让白帽子长期进行测试——也就是项目没有结束期限。
漏洞盒子上的漏洞细节默认不公开,但如果白帽子要求公开,厂商也同意,漏洞细节就可以公开。我们想公开金额争议较大的一个漏洞,但是却发现厂商没法主动公开,需要去让白帽子发起。
四)Sobug白帽众测
图9 Sobug众测 Logo
Sobug白帽众测平台( http://www.Sobug.com)是新成立不久的团队,创始人是前腾讯员工。由于创立不久,网站稳定性稍逊一筹,整体评价在流程和体验上会有一些小问题,不过团队整体迭代速度很快,出现的问题都会在很短的时间内解决。
在Sobug上注册帐号,也是由厂商通过邮箱进行注册,以鉴别厂商身份的真伪,这点跟漏洞盒子的方式类似。
Sobug网站也是走HTTPS加密传输通道,不赘述。
在三大安全众测平台中,目前只有Sobug对白帽子提交的漏洞的真实性有作一定的审核。这个用户体验做的不错,对于一些专业技术实力不够或者人力匮乏的厂商,帮助应该非常大。
图10 Sobug的漏洞审核与点评
在Sobug上有提供评论功能,但TSRC在使用时未显示出来,经过沟通,确认是平台bug,看来平台还不太稳定。同时由于Sobug的评论不允许换行,点击确认就自动发表评论,导致连Sobug官方自己都多次重复发表评论,着实有待改进。
图11 Sobug的评论bug
TSRC在Sobug上处理漏洞时发现,上面是无法忽略漏洞的,只有“确认”跟“退回”两个选项。即使你点了“退回”也只是把状态由“待审核”转变为“待确认”,然后只能继续选择“确认”或“退回”,就这样死循环着,我们已经不知道该如何继续操作了。而且在下一次审核时,因为被标记为“待确认”,导致审核者容易再重复审核。
从上面几点可以看出,Sobug平台的各项功能还不够稳定和完善,期待后续有更多人性化地改进。
在与白帽子沟通方面,Sobug也是主要通过评论沟通,沟通成本稍高,同样不再赘述。
又到了结算时间, Sobug平台还没有出什么争议。
最后,Sobug上的漏洞细节也不会公开。
五)总结
以上就是TSRC作为厂商参与体验三大安全众测平台的一些主观感受,一家之言,读者就姑妄听之。(注:为避免争议,各平台的描述均预先发给官方阅读过)
我们再来以厂商视角谈谈对安全众测平台的期望。
其实厂商之所以参与众测,就是希望平台上的众多白帽子能以不同的视角去发现产品安全问题,并协助修复。所以厂商对平台的忧虑主要包括:
保密性。厂商首先要考虑的是漏洞的保密问题。安全众测平台本身就是独立于厂商的第三方,平台还可以问责,但白帽子是独立于平台之外的,白帽子人品是否可靠,这是厂商最担心的;
专业性。参与众测的厂商大部分应该是中小企业,这部分用户本身对安全技术的理解能力有限,白帽子的报告如果写得很随意,比如修复方案写“你懂的”,这对厂商来说就不是很好;平台的核心是白帽子,在三大平台竞争的环境下如何留住能力很强的白帽子,也是对平台的一个考验;
合规性。企业都有相关的经费使用流程,所以签订合同是必须的。同时,有了合同也可以避免后期在金额上的分歧,也是企业漏洞不被滥用的合法保障;
流程和体验。这个就只能排最后了,毕竟,厂商找众测是发现和修复漏洞,流程不完善可以忍。但是在同等能力的情况下,流程和体验就会成为脱颖而出的重要因素了。
只要哪个众测平台能够解决以上问题,相信未来都会有很多发展空间。
我们可以看到,安全众测这个市场才起步,还有很多地方可以完善。这个市场需求也很大,相信如果有团队持之以恒地去探索和改进,这对白帽子、企业和平台本身甚至行业都是有利的。
最后,让我们祝乌云众测、漏洞盒子、Sobug越办越好,TSRC愿与你们一起,共同捍卫互联网安全。
【延伸阅读】
《张耀疆:我也说说安全众测》,http://www.e365.org/?p=11456
更多更全咨询欢迎关注“腾讯安全应急响应中心”公众帐号,第一时间掌握我们的咨询。
捐款成功,感谢您的无私奉献
评论留言