漏洞平台

先自我介绍下，笔者入安全圈已近十载，目前在某金融单位负责渗透测试工作。最近一年随着各大公司的漏洞报告平台搞得如火如荼，因为笔者单位可能也要搞类似的项目，所以笔者就把各大公司的平台全部体验了一遍，根据这些漏经历，吐槽下各大公司的漏洞平台。

一、腾讯安全应急中心（TSRC）

网址：http://security.tencent.com

TSRC算是最早成立的厂商漏洞平台，它的一些漏洞评分规则、奖励策略，甚至是站点设计，也被后面一些其它公司所效仿。

给TSRC提交过不少漏洞，web的也有，客户端的也有。WEB漏洞处理速度有时挺快，客户端的可能相对慢些，可能是测试原因。有时一个xss报上去，没多久就确认并修复，但有时一些逻辑漏洞报上去，磨叽好几天还没审核，这里不得不BS下TX。有时候处理者不明白的地方还会QQ上跟你反复确认沟通，这点还不错。

白帽子报漏洞，其实也大多是为奖品而来的，这里有必要说下奖励制度。TSRC是采用积分制度的，积分又按漏洞危害等级的不同，将积分乘以相应的权值得到安全币，再用安全币换相应礼品，现在其它漏洞平台也逐步采用了这种奖励制度，但他们是直接使用积分兑换的，所以整体来看，TX的安全币冒似比其它平台更值几块大洋，后面也会说到其它平台的奖励制度，呆会再吐槽下。

反正我的感觉还好，我记得08年那会儿，ben还在腾讯的时候，我给腾讯报了几个漏洞，后来只收到一个QQ公仔感谢；TSRC平台出来后，我算了一下，我拿到手的东西也差不多有几千。虽然几千块没多少，但是心里面会舒服一些。

二、网易安全中心

网址：http://aq.163.com

第二个成立的漏洞平台，其实第二个应该是人人网，但那只是个摆设，并没有真正运营起来，也没啥人报，不提也罢。

一提网易，不得不先吐槽下其“通货膨胀”的积分制度，那评分是积分乘以相应危害等级的立方倍，月初没几天就可以刷几千分，最终都是刷个上万分，一般人在月初看到这种情况，啥漏洞提交的欲望都没了。6月份的积分终于改邪归正，回到正常轨道了。

再来谈下网易的奖励制度，首月只有19名获取，后面一排4G U盘的的，20及之后的全都无奖励，白提交漏洞了，对这帮孩子深表同情。从第一名ipad4开始，其它奖品就一落千丈了，确实跟TX没法比。到了第二个月奖励时，那没得到的奖励的白帽子，甚至都没在感谢名单里面（后面又补上了），这是对白帽子的不认可啊，很容易引起公愤的，网易的童鞋们。

沟通问题一直是各漏洞平台的一大问题，有时可能未曾沟通就直接忽略漏洞，京东冒似好点，初期还会Q上沟通下。

对网易平台只有一个心愿：赶紧提高奖品质量，多些给力的奖品，同时让所有报漏洞的人都能获得奖品，避免分赃不均！

三、京东安全应急响应中心（JSRC）

网址：http://security.jd.com

对于JSRC平台，感觉上线有点急了，因为站点很多功能都没完善，很多bug，据说开发者是边学php边写代码的。平台的显示也有不少问题，看那css代码，估计也都是抄TSRC的。排行榜上只记录最近一个月的白帽子，之前的都查看不了。还有白帽子提交的漏洞，提交者都没法查看，目前是改进这问题了。最近刚上的JSRC 2.0版本已经改进不少，但平台功能还有待完善。

有关注JSRC的朋友都应该知道，京东首月奖品奖励就发给3个人，雷蛇三件套拆分成三份，前三名一人分一个，其它漏洞提交者无奖品、无公告感谢，不够人道啊！上面很多奖品都只成了摆设，要拿iphone5，你就得提交90个webshell来换，最初刚出来的时候要更多。京东站点本来就少，且各站点大多是卖东西，长得都差不多，一个人要拿90个webshell，这要猴年马月啊。要知道，腾讯的一些重点业务，找到个能拿webshell的严重漏洞基本上就等于是一个ipad，差距太大了，京东需要加大奖品的资金投入啊！

还就是JSRC在漏洞处理速度上略显有点慢。

京东的评分机制也大多是参考TSRC的，对比下他们各自的评分标准就知道了，不过在评分方面，我觉得京东还是挺合理的，因为他们直接借鉴了TSRC，避免重蹈TSRC的覆辙。虽然，JSRC平台做得比较差，但他们向TSRC学习的决心，还是值得鼓励的，希望后续能够得到更大完善。

四、百度安全响应中心（BSRC）

网址：http://sec.baidu.com

百度的平台跟京东的一样挫，，笔者觉得有必要来细数下BSRC的三重罪。

第一罪：沟通问题。白帽子提交有效漏洞后，未经任何沟通直接忽略，导致引起公愤，在微博上直接被白帽子点名批评。随后BSRC还发公告说明这是漏洞重复提交导致的，后面已增加评论功能了，但做得很粗糙，显示效果也不好。像TSRC搞的QQ临时在线沟通方法挺不错的，可以参考下。

第二罪：评分问题。百度的评分标准是这样的：高危（40~150）、中危（10~60）、低危（1~25），各等级分数之间都有交叉，且每一等级的评分范围都很广，基本没有给定确切的评分标准，百度管理员随意操作分数的空间相当之大。一个CSRF给1分，跟路径泄露等同，这价值观问题就体现出来了。一个XSS也都是低危中的7、8分而已，运气好可能还能拿个10分，反正评分标准也没有细说。一个可操作数据库的SQL注入40分，这是目前百度给出的最高分，也就是说，目前所有百度漏洞都只是“中危中的中危”而已，其实我很想知道，百度的150分是长什么样子的，可以约等同4个高危SQL注入。另外，在BSRC平台上，深深地感觉到一种“搞WEB鄙视搞BIN”的力量，各种客户端漏洞全都给低危，有一哥们提交了一些漏洞都是给2分、7分之类的，还不如一个XSS；还有一哥们提交内核DDOS直接忽略了。他们的“评分标准”对各种客户端漏洞说明甚少，只看到个缓冲区溢出、获取系统客户端权限等字眼，描述明显不到位。最初看他们给的礼品兑换积分，感觉冒似比TX低一些，但后面看百度给的评分，就知道他们跟TSRC差得太远了，比如高危SQL注入，百度给40分，腾讯是给90安全币，之间的差距已经无需言明。

第三罪：平台兼容问题。笔者用chrome提交漏洞的时候，提交不上，查看“最新动态”、“已提交漏洞”全部都不成功，用系统自带的IE也不行，最后才发现BSRC只有对FireFox的支持稳定些，真是个奇葩平台。BSRC平台开发时居然没有对浏览器的兼容性进行测试，对主流浏览器都不支持的平台想提交漏洞都提交不了。BSRC上面的链接都不用来跳转，一后退就得重新打开了，基本上漏洞平台上能体现的各种问题都让BSRC表现得淋漓尽致。

五、360安全漏洞响应平台

网址：http://vulreport.360.cn

自称世界第一大互联网安全公司的360是有一个收购第三方产品漏洞的平台，叫第三方漏洞收集平台，但今天我们主要是对比厂商自家漏洞的响应平台，那个花钱买别人漏洞的事就不提了。笔者比较奇怪的是，自家产品漏洞平台的提交居然是只能邮件提交的，而第三方漏洞收集平台反而允许直接在平台上提交的，所以它这平台不算是一个完整的漏洞平台。对于360值得肯定的一点就是，他们给的漏洞奖金确实不错，但之前一些WEB漏洞因为量太多，反而突然“降价”了，在百度搜索缓存里还可以找到“蛛丝马迹”的。

通过邮件提交漏洞，那速度可想而知了，大都得等个3天才会回复，处理时间也会比较长。之前一哥们提交了一些360压缩图片查看器的crash，公告一出来全都写“远程代码执行漏洞”，不知道360是否故意这样写以迷惑广大群众，还是根本就没本分析，直接扔这么个名称出来。他们这平台基本没用户交互，一个不完整的漏洞响应平台就没啥值得可吐槽的了。