眾測之sobug的體驗
最近比較忙,每天差不多2、3點才睡覺,除了工作的事,還在整理自己的一些東西,包括一些想法、網站以及自己的知識點,不過還是抽出一些時間體驗並且真正的以白帽子的身份參加了下sobug眾測的兩個項目,今天來跟大家聊聊。(如果不懂眾測是什麼的同學可以先百度了解下)
真正認識冷總應該在今年參加syscan360會議的那會,冷總加了我微信,然後本來要準備見面聊聊天,前後兩三次都不正好,沒聊成,不過syscan360當天晚上微信上與冷總聊了眾測以及sobug的一些自己的想法,相聊盛歡也不知不覺到了2、3點,難得的沒有做其他事,之後也想著找時間正正式式參加下,所以就有了後面的參與和今天這篇文章。
轉眼從剛開始的烏雲眾測到現在,眾測平台有烏雲眾測、sobug、漏洞盒子、360刃甲以及威客眾測,算算也有5之數了。雖然都註冊了帳號,但是其他家的眾測倒是沒真正的參與過,就不多做評價,只聊聊關於眾測、關於sobug的一些事。
閑話扯了一堆,下面進入正題。
互聯網安全產品
大家可以發現題圖,我用了三句話,最底下的是一款互聯網安全產品。記得跟冷總聊天的時候,印象最深刻的就是冷總告訴我這是一款互聯網產品。既然是互聯網產品,拋開其他不說,來談談用戶體驗問題。從註冊登陸到參與項目以及提交項目漏洞的過程中,整體體驗來說還是挺順的,只不過在白帽子與審核人員及廠商的溝通上缺少有效的方式,只能通過報告頁評論,然後評論沒有提示,還有一些細節的問題,不過聽小智說都已經處理,在下個版本發布,坐等更新。
除了因為是互聯網產品,要講究用戶體驗,同時這個互聯網產品前面還有個修飾詞「安全」,所以如果保證白帽子和廠商的隱私安全也是要講究的,很欣喜的看到sobug使用的是ssl加密連接。
其他方面,到目前為止,穩定性、訪問速度等均覺得不錯,平台的UI設計方面也清新怡人,是我喜歡的風格,哈哈。
漏洞研究提高互聯網安全
其實對於所有的眾測平台來說,都存在一個信任的問題。廠商如何信任平台,信任平台上的白帽子能夠提交漏洞,而不會在自己為漏洞買單的同時轉手把漏洞發出去等等。
作為一個白帽子,參加眾測平台,廠商如何信任平台其實不是我所關心的,換句話說,應該更關心的是信任情況帶來另一層影響,有項目可以參與,參與的項目給足夠的獎金,這才是參加眾測的白帽子關心的問題。
根據sobug上顯示的情況,目前看來應該還算是比較良好的,第一名的神奇四俠大牛已經獲得了42000的獎金(似乎有部分獎金未刷新顯示),累計106個合作廠商,16個項目,1450個bug,項目預算總額160w多(實際發放的獎金肯定不是這麼多)。其實總的發了多少、多少個洞啥的我都不關心,就我個人的體驗來說,在參與某大型彩票網站項目快結束的時候,還沒結束,馬上又有某大型交易網站的項目,就是有項目接著參與,這個是不錯的。
不過還存在一個問題,那就是僧多肉少,因為是大家同時參加眾測,在一個項目開始後,基本上如果手慢,那麼那些比較好發現的漏洞基本就已經被人提交了,這裡不得不提sobug的兩個個功能,在提交漏洞的時候要求填寫目標頁面鏈接,然後會提示是否重複,當然並不能100%的正確識別,畢竟只是根據鏈接做處理,這樣讓白帽子心裡有數可能有人提交了;同時在提交漏洞後審核被忽略的情況還可以查看重複目標漏洞的詳情,讓白帽子自己可以對比確認,我覺得這兩個功能著實不錯。不過這引出另一個問題,重複意味著忽略,意味著做無用功,會打擊積極性,當然我也木有想到好的處理方法,只能說你夠強大,手夠快,要嘛在別人提交前提交,要嘛發現一些別人發現不了的漏洞,僅此而已。
連接安全專家與廠商
在我看來,做好這部分是最難的,兩個項目過程中,我想應該就我提的問題、異議最多了。話說在看來,這些做CEO的同學們,特別是創業團隊,特別喜歡大家有問題直接提給他們,所以我基本有啥覺得不正確不合理的就馬上直接在群里噼里啪啦的反饋了,哈哈。
從白帽子發現漏洞到提交漏洞,到漏洞審核,確定等級,溝通等級,確定獎勵金額,整個過程我覺得是個坑,如何做好整個流程是對眾測平台的一大考驗啊。
首先,一些廠商不收一些低等級的漏洞,那麼漏洞的等級定位的差異是個問題,比如說廠商不要低危漏洞,但是我提交了一個我覺得是中危的漏洞,結果平台審核同學告訴我是低危的,而我堅持是中危,這又如何是好?
其次,漏洞復現以及漏洞重複判斷。提交那個大型交易網站漏洞的時候我就提交過一個 被提示為重複而我認為不重複的洞,最終通過溝通得到確認,具體下面細說。
第三,廠商對漏洞的定級。你認為高危的漏洞,到廠商那,他覺得沒有影響數據啥的,應該降為低危,這又該如何?
第四,獎金的評定,平台對於同一等級漏洞的獎金評定是在一個範圍內,那麼到底該給多少?
還有一些其他的問題,我就不細說了,說說這四個大問題,其實主要就是認知的差異性,而導致認知不同的各種原因,比如技術程度不同等等。
第一個問題,我覺得目前不僅是各個眾測平台,包含各廠商安全應急響應平台,都一樣,就是對漏洞的定級問題。包含sobug,我覺得給出的文檔對於漏洞的定級還是過於簡單和泛,漏洞的等級到底需要考慮影響程度嗎?或者其他的?我覺得修訂一份詳細可查詢參考的說明在出現認知差異時作為認定依據很有必要的。
第二個問題,在參與大型交易網站項目的時候我提交過一個組合漏洞利用的報告,第一次被忽略了,說是重複了,於是我提出異議,我覺得我對於漏洞的利用的點是與重複漏洞完全不同的,重複漏洞只是單純的提交了這樣一個漏洞,我組合利用兩個漏洞利用,達到的效果完全是不同的,最終的結果是由我提供詳細的利用說明來交由廠商定奪。所以就扯到第三個問題。
第三個問題,在我看來,因為廠商是出錢讓白帽子找漏洞的,如果碰上無良廠商,他肯定是希望錢給的少比較好,那麼如何才能錢給的比較少?就是被漏洞等級認定降低。當然,這只是個舉例,還沒碰到過這種廠商,最多的還是認知不同與廠商在對漏洞等級的認定存在差異,於是又回到第一個問題了。
第四個問題,其實我還沒經歷這個步驟,但是在我看來與前三個問題是差不多的,認知不同。
而作為一個眾測平台,連接安全專家與廠商,如何個連接法?如何協調?這是一個很重要的環節,你不能損害廠商的利益,也不能讓白帽子的勞動白費。在這點上,不知道其他眾測平台怎麼樣,sobug在我看來還是不錯的,反正我是問題最多的,提出異議最多的(我不是故意給冷總找茬的[摳鼻]),不管是冷總還是小智在與我溝通的過程中,儘管這是一件兩頭不是人的事,但是可以看的出sobug作為一個平台在堅持一些原則的同時在維護白帽子和廠商的利益,同時也在積極尋找方案解決這些問題,這個必須點贊。
問題
講了一大堆估計大家認為我給sobug打廣告來了,講sobug這裡好那裡好,都不見講問題。不急。
其實就前面講的,拋開平台的性質不說,整個平台在一些功能的使用上至少目前看來還是不夠的,還是有許多的細節沒處理,包括我覺得很重要的溝通的問題,僅僅只能在漏洞提交詳情頁進行針對評論,而且不再次打開頁面不知道被回復了,這是個坑,還是需要優先處理的。然後比如說,漏洞列表沒有篩選功能,全部漏洞一批列表列在那,就只有編號和標題等幾個簡單信息;再者項目列表與漏洞列表缺少關聯,查看漏洞只能點「我的眾測」進入查看所有自己提交的漏洞列表,而不能通過項目頁點擊進入查看該項目提交的漏洞;再者,提交漏洞,得在項目頁點擊進入查看項目詳情,然後底部才有一個按鈕顯示「提交漏洞」,等等細節問題還是有待改進。
其次,就像上面說的,漏洞分級提供的文檔寫的太泛了,對於漏洞分級等問題都是通過QQ上進行溝通,整個漏洞提交確認的流程還是有待優化,有些可以自動化的東西完全可以做成平台功能,全部靠人工交流比較費白帽子的時間,而且對平台的人力要求也比較高。
另外,對於一些新的功能還是需要抓緊開發,跟冷總聊了挺多想法,不過目前有些都還沒看到,還是有待繼續努力。
總結
總的來說,就當時跟冷總聊的那些內容還是很期待在sobug上看到,包括現在已經看到的部分,希望sobug一步步按照自己的計划走好,祝sobug越來越好,然後在整個平台的用戶體驗和各種流程上也需要下一番功夫的。
----------------------------------------
Fooying,關注安全與開發
通過「fooying」在微博、知乎、github、博客(fooying.com)等地方可以找到我。
歡迎收聽微信公眾號「0xsafe」
推薦閱讀:
※如何高效挖掘Web漏洞?
※招行網銀曝漏洞:客戶信息泄露可被修改,回應稱系伺服器緩存
※WebLogic WLS-WebServices組件反序列化漏洞分析
※如何將漏洞CVE-2017-1000112應用到其他內核上