虽然cnhawk总是一名“终结者”,但是从TSRC平台建设开始,给各大企业平台的建设过程里,却提供了大量的“建设”性的建议,一个名副其实的“建设者”。每次lake2和我pk的时候,老是说:“你等着,我找hawk总秒杀你!” 奇怪的是,很多回合过去了,却很多走向了共同的点子上.....
在4月19日TSRC沙龙上,我们现场来个PK,不过当时环境所限,感觉pk不是很过瘾。于是hawk总来一个大招《浅谈企业漏洞收集平台建设》。整体上来说,现场pk的也是以前pk过的一个问题:法治与人治。其实这个题目很大! 其实我不完全是人治。
首先,“企业漏洞平台将运营人员技术层次提高到足够高的水平” 这个是体现平台价值的一个重要点。我和lake2说过:当这样平台的运营人员是幸福的,就像一个图书馆(图书馆的威力,你们都懂的!),你单纯把他当一重工作任务,那真是“天理不容”的!!
然后在大风的演讲《黑客来了怎么办》里提到一问题,那就是“度”!白帽子们在找漏洞测试时候的一个“度”,大风主张只到POC的层面就好了。但是问题来了,怎么评价这个漏洞的最终危害!这个也就涉及到评分的问题。 如果有白帽子来完成,那很明显越界了,完全可以去“南山法院”,只要腾讯愿意。 所以这个事情就得交给甲方来做,但是这里又有一个问题了 ,也就是甲方人员得水平问题! 我记得在现场我也说了,以前在tsrc的人员也说过:“你自己的技术水平都不行,怎么去评估别人报告的漏洞!” 其实这个是比较尖锐的提法。所以开始tsrc的很多朋友对我是有看法,但基本都是爷们,我想也没关系。 但是面对一些甲方妹子交流的时候,我就不好去说这个话了,有点伤人!(这里绝对不是性别歧视啊~~)
跑题了...
那么我们怎么来解决这个问题,当时我提了2个建议:
1、加强对甲方安全人员的内功(人才培养)
2、加强和漏洞报告者的沟通。(你有能力证明,但是没有资格去实施。我有资格去实施,但是没有这个能力!所以交流交流就好了!?)
不过TSRC的人有没有采用我的,我就不是很清楚了...
然后我们回到评分标准的问题上,hawk总的量法思路,其实很多人(我记得大风就提过)和机构都有去做过。但是我认为漏洞的场景太多,也就是评估的因素很多。而不是单单远程、本地等问题。而且我认为web服务上说远程本地基本没多大意义。当然这个只是个举例说明,好像以前也有老外提供过一些共公式。这里我想说的是我在《我的安全世界观》里提到的“概念(公式)是死的”到***评估还是落实到人身上。
那我的办法是啥呢? 我在《给TSRC等甲方平台建设的一些建议》里提到:“应该把以上的一些因素的权重来实现一个修正的评分模式” 也就是在“法治”的每个规则上来个修正的范围:
如:[ 严重 ] (兑换金币系数 30 )分值范围 9-10, 修正+-5
也就是先给等级,然后结合漏洞的一些场景、条件来修正。
另外我对其他甲方建立这样的平台的时候,一定要注意结合甲方自己的因素,比如投入的成本等等去认真思考,榜样有时候是有“毒”的。不要“该学的没学到,不该学的都用上了 ”
hawk总发布“终结”篇《三谈企业漏洞收集平台建设》