一次给爱奇艺SRC报告漏洞的经历
先给大家看看时间线吧(漏洞已经被修复):
2020-01-06:发现爱奇艺客户端某个需要用户发生交互的场景可以导致远程代码执行,报告到爱奇艺SRC
2020-01-08:发现报告被关闭,留言反馈
2020-01-09:发送邮件到71src@qiyi.com
2020-01-09:爱奇艺SRC负责人表示审核人员看错了,让我重复提交一次
2020-01-10:重新提交了漏洞
2020-02-21:通过QQ向爱奇艺SRC运营反馈这个漏洞不应该被评为中危应该是高危,对方表示会讨论
2020-03-06:再次通过QQ向爱奇艺SRC运营询问,对方表示还没有上班
2020-04-01:再次通过QQ向爱奇艺SRC运营询问,对方表示这周之内答复
2020-04-03:和爱奇艺SRC运营讨论交流,对他们的工作提出了批评和质疑,对方补发了金币和奖励
我不能理解的事情有这么几个:
1.市值上百亿美元的美股上市公司审核漏洞为何如此随意?一个能影响爱奇艺windows客户端至少几百万用户的高危漏洞能被审核人员看错直接忽略?我在漏洞下面留言没有回应,直到我发邮件询问。爱奇艺SRC的运营流程和审核人员工作的专业和态度为什么有这么严重的问题?
2.为什么我联系爱奇艺SRC运营详细说明了我认为为什么应该评高危而不是中危之后,仍然一直不给我答复,期间我不得不两次询问?
3.我和爱奇艺SRC运营沟通的过程中一直保持文明礼貌,克制自己的情绪,爱奇艺SRC运营为什么给我发送了一个微笑的表情?
4.为什么不给我道歉?是不是爱奇艺SRC觉得白帽子好欺负还是爱奇艺SRC觉得自己很牛逼不需要道歉又或者是爱奇艺SRC觉得自己什么也没有做错?
我那天在朋友圈吐槽完了之后觉得还没有发泄够,于是给71src@qiyi.com发了邮件,问了他们这几个问题,同时我也问他们爱奇艺SRC存在的意义是什么?是觉得其它公司有所以我们也要有糊弄一下就行给老板做一下样子还是真的觉得安全问题很重要?
因为我不想再理这群人,所以我邮件里面说请你们不要回复我。之后爱奇艺SRC负责人在之前拉的群里说可以给我补偿一张爱奇艺年卡激活码,当然仍然没有道歉。我不想理他,他加我QQ好友我也没通过,因为我作为一名安全研究人员已经被这家SRC侮辱到体无完肤,我很担心他对我继续进行侮辱。
我虽然穷但是我不是为了钱,我只是想讲道理。开始认定中危给了我100个积分,死皮烂脸扯了这么久补发了我100个积分,按照爱奇艺SRC上的规定相当于能换300块+300块的京东卡,我特么还真的不在乎。不是说嫌钱少,甲方做安全可能资源是有限的,钱少不是不可以理解,但是该高危为什么要评中危?我也明确承认是需要用户交互的,无意夸大漏洞危害,无交互就应该是“严重”而不是“高危”了。
前段时间一篇文章有人吐槽微博一个漏洞在微博SRC换了一条毛巾。不管是低廉的奖励,不公正的漏洞定级甚至是对安全研究人员言语上的不尊重等等种种侮辱行为我都不是第一个遭遇的,也不会是最后一个,那为什么会出这种事情?
我觉得是跟大环境有关。project zero经常因为90天内厂商没有修复漏洞就披露细节,还有前两年像sandboxescaper这样windows的0day一个接着一个发的。国内你要是敢这么玩轻则被约谈喝茶,重则涉及到的厂商直接起诉你。所以国外厂商普遍也更重视SRC建设,白帽子劳动成果能得到尊重,因为你把人家惹到了直接发0day所有人都会看你笑话。而国内厂商料定白帽子不敢披露漏洞,于是就对白帽子进行各种侮辱。
看起来好像对白帽子披露漏洞不加限制更加危险,实际上是好处大于坏处的。真正像sandboxescaper这样一心搞破坏的人几乎可以忽略不计(看他推现在也好像是被微软招安了),绝大部分白帽子厂商给了足够的金钱和尊重都不想搞出什么事情。为什么规则应该倾向白帽子还有一个原因是白帽子面对厂商是弱势群体。国内厂商之间各种报团,很多SRC漏洞评价标准都是一起制定的,经常各种开会扯淡拉关系,而白帽子之间很难形成一个类似于工会的组织维护白帽子的权益。不爽了也就只能发个帖子吐吐槽,不然还敢怎么样呢?
这几年网络安全这一行好像还挺火,一直有新人干这行,虽然时不时有白帽子和SRC扯起来但是大大小小的SRC也不愁没有人来报洞。但是国内白帽子这样的生存环境一直持续五年十年之后呢?
更新:不知道为什么爱奇艺SRC的负责人在我写这篇博客的当天就看到了然后来找我了。我不想再说这件事情了,到此为止。
一次给爱奇艺SRC报告漏洞的经历