漏洞之我觀

在以前，可能就許多互聯網廠商來說，對於漏洞都沒有一個直觀的認識，更別說普通的網民了。今年以來，包括這次的OpenSSL或者上次的攜程、支付寶等爆出的漏洞，不管是廠商還是組件，都讓大家對漏洞有了進一步的認識。從去年到今年以來，各種SRC遍地開花，各個互聯網廠商都建立了自己的安全應急響應平台，然後普通網民也通過一次次的種媒體，包括央視中的各種新聞等看到了各種漏洞問題，也對安全越來越重視。那麼漏洞到底是怎麼回事？怎麼關注最新漏洞？怎麼提交漏洞呢？今天來與大家交流下我的想法。

何謂漏洞

看了那麼多的新聞和文章，我想大家對漏洞應該有一個比較清楚的概念了，不過還是需要把百度對於漏洞的解釋貼出來：

漏洞是指一個系統存在的弱點或缺陷，系統對特定威脅攻擊或危險事件的敏感性，或進行攻擊的威脅作用的可能性。漏洞可能來自應用軟體或操作系統設計時的缺陷或編碼時產生的錯誤，也可能來自業務在交互處理過程中的設計缺陷或邏輯流程上的不合理之處。這些缺陷、錯誤或不合理之處可能被有意或無意地利用，從而對一個組織的資產或運行造成不利影響，如信息系統被攻擊或控制，重要資料被竊取，用戶數據被篡改，系統被作為入侵其他主機系統的跳板。

了解的同學再加深印象，不了解的同學進行了解，錯誤的同學進行糾正。

沒有不存在漏洞的程序，有的只是沒被發現而已，更甚至人也是存在漏洞的，不然也不會有社工這門學問了。

那麼什麼又是漏洞利用呢？先解釋幾個名詞：

POC：POC的全稱是Proof Of Concept，翻譯成中文就是概念或者觀點驗證。那麼相對漏洞來說，就是漏洞驗證程序，通過運行程序，得到預期的結果，也就證明了漏洞存在。

EXP：EXP的全稱是Exploit，就漏洞里來解釋就是漏洞利用程序。

兩者是有區別的，相信大家可以看的出來。回到問題，什麼是漏洞利用呢？像昨天文章里講到的POC其實就如剛才的解釋一樣，是驗證漏洞是否存在，而漏洞的利用，就是利用存在的漏洞來達到一定的目的，比如獲得管理員帳號密碼等。

漏洞的關注

這次的OpenSSL漏洞的爆發，也許有人就會想問，大家是從哪裡知道漏洞信息的？簡單給大家介紹一些方法和資源。首先對於搞安全的人來說，自然而然會關注一些漏洞平台，如國內的wooyun（www.wooyun.org），再或者國外的exploit-db（www.exploit-db.com），再者是關注一些安全公司及安全大牛的的blog等。一般除了能在那些漏洞平台看到最新的漏洞之外，一些安全公司再或者安全大牛有時也會在自己的blog之類的發布自己發現的一些最新的漏洞；再或者是一些郵件或者RSS源的訂閱，與關注blog的道理是類似的。

我找了一些網址資源，大家可以看看，微信觀看的同學可以點擊左下角查看原文下載查看，知乎的同學直接以下鏈接：

http://pan.baidu.com/s/1hq1dGck

裡面有cos的RSS資源，可以用鮮果閱讀器導入，或者直接郵件以文本文檔的方式打開就可以看到內容了。

漏洞的挖掘

之前有寫過一篇文章《我也想找漏洞》（http://mp.weixin.qq.com/s?__biz=MzA4NzM5MTUzOQ==&mid=200276922&idx=1&sn=f314dca26dcd252fde4f7365f461b76a#rd），大家可以看看，這篇文章里我記得我講了學習挖掘漏洞的一些思想，有提到現在各種廠商的各種漏洞提交平台與各種獎勵等等，我想很多同學都很心動，也很想學習漏洞的挖掘，具體我就不多說了，這是一門大學問，大家可以看看我之前的文章，然後自己看一些書，不過更多的要多實踐，具體我就不多說了。

漏洞的提交

既然講到挖漏洞，那麼就不得不講講漏洞的提交（排除不提交的情況）。現在各種SRC林立（詳情可見http://www.0xsafe.com），再或者也有360庫帶計劃、sebug或者wooyun再或者國家信息安全漏洞共享平台。那麼又怎麼提交漏洞呢？

其實我的看法是看個人，比如我，如果找到了漏洞，一般我會先通過廠商的漏洞提交方式提交漏洞，郵箱或者漏洞平台等，如果廠商沒有自己的漏洞提交方式，那麼我會選擇提交到wooyun，而對於組件漏洞等，我會提交到wooyun或者其他方式。

有些人可能提交漏洞只是為了提交，有些是為了知名度，有些是為了榮譽，各種理由都有，其實現在各個平台都有獎勵計劃，所以可以說是名利雙收。不管是基於什麼理由，再或者不提交漏洞，反正我覺得這完全取決於個人。

那麼如何選擇合適的漏洞提交平台？就從獲得獎品來說，分享幾點經驗，我想這是大家比較關注的。

1、對於危害比較小的，比如反射型XSS，如果在wooyun提交一般不會通過，而如果在對應廠商的漏洞提交平台提交，肯定通過。

2、一般來說，如果是大廠商的漏洞，有自己的漏洞平台，直接提交可能會獲得獎勵更多點，不過影響會小點，如果廠商實行排名機制，沒提交夠一定量（包括數量和質量）的漏洞，很難獲得比較好的獎品，不過也要看廠商，有些廠商比較大方，排名低的獎品也還不錯；如果廠商是積分兌換方式的，就先看看廠商的獎勵計劃，比如一個XSS能有多少積分，多少積分又能換什麼獎品等。

3、如果是想影響大一點，就提交到公共漏洞平台，如wooyun，像之前的支付寶漏洞，如果提交到ASRC，估計最多就是一個重要漏洞，最多給你幾十分或者特別獎勵個ipad，而因為提交到wooyun，被爆到微博，很多人關注，影響變大了，就變成是十萬的獎勵了，當然這不是鼓勵大家這樣做。

4、如果是榮譽出發，提交到國家漏洞平台，是有漏洞提交證明的，還是國家性質的。不過現在部分廠商的SRC也有發證書的獎勵，如騰訊等。

5、其他的話，就我提交過漏洞的平台來說（沒提交過的不了解），騰訊的TSRC會在逢年過節發簡訊祝福，然後送文化衫等；而新浪的SSRC會在每次送獎勵的同時附帶一張明信片，感覺比較貼心。。。等等

其實就提交漏洞而言，以上講的有點太現實，把提交漏洞跟利益掛鉤了。這個還是看個人，也看廠商，個人愛選擇什麼方式就選擇什麼方式，然後廠商的獎勵也是看廠商怎麼決定的，其實廠商也是為了鼓勵白帽子找漏洞才獎勵的，也是對安全的重視才肯花錢。反正就看大家自己了，就不多說了。

結語

跟大家大概的聊了聊漏洞相關的東西，其實更多的還是靠大家自己的學習跟探索，還是用黑哥那句話，整就牛，想學什麼，想知道什麼，我還是鼓勵大家自己動手去搜索，去看，去學。

（題圖來自網路）

----------------------------------------------------------

Fooying，關注安全與開發

留言必看，也歡迎關注知乎專欄：http://zhuanlan.zhihu.com/fooying

微信公眾號:oxsafe

也可以加入0xsafe交流群 141278838進行交流

微博或者知乎搜索：fooying都可以找到我，微信搜索：oxsafe

感謝關注，如果覺得文章不錯就分享下

推薦閱讀：