昨天看到携程被黑吧爆出了《支付日志漏洞致用户信用卡信息泄露》的新闻,然后今天早上就看到携程发布的声明,而且声明中提到到了携程的SRC。这让我不由得联想到最近如雨后春笋般的SRC,莫名的有种想吐槽下现在各类SRC的冲动。
  各大SRC的站位
  我们先来大体的聊一下当前几大SRC军团势力的站位,首先是腾讯的TSRC最先出现,然后应该是百度的BSRC,再后面是一些乱七八糟的SRC(什么网易、新浪之类的),最后随着阿里的ASRC的出现,各大SRC势力的出场和底盘的划分完成。其他的那些什么SRC不在这篇文章的重点讨论范围之内,原因会在最后说明。
  这几大SRC的军团势力都有一个共同的敌人——360漏洞平台(好像是这个名字吧)。其实说实在的这个漏洞平台比各大SRC牛逼多了,人家都是花钱买自己的漏洞,而且又不好直接用钱,都是走的高端礼品的路线。而360就不一样了,它可是花钱买别人的漏洞,而且是实打实的现金RMB。
  各大势力和它们的站位大概就描述到这,下面开始正题——吐槽。
  记得微博上很久之前有一条微博是说百度、腾讯和360的,具体内容忘了,大概应该这个样子的:
  百度、腾讯和360的关系就像是在打斗地主,周鸿祎是牌不怎么好也叫地主,但是打得不错,马化腾是牌好打的也好,李彦宏是攥着一把好牌瞎鸡巴打。
  领跑的TSRC
  好了,背景铺垫完了,开始请上我们的第一个主角——TSRC。国内第一家模仿国外的公司,建立漏洞提交平台,可以算的上是各大安全平台的老大哥级别,这点从那些安全平台网站的样式上就能看出来,全是拿TSRC当模版做的,比如:ASRC。
  其次生态圈建立的也很完善,礼品建议提交,技术分享博客,QQ群,微信群等等。而且对于提交漏洞的白帽子态度也很好,白帽子其实也就图的是这点尊重,当然还有礼品。这点上形成明显对比的就是ASRC,一直是以一副小傲娇的样子,记得有一段时间,曾经公开的说过:我态度就是不好,但是爷们拿钱砸,就不信你们这帮屌丝不来(类似的话,大体意思是这样,具体词句是我脑补的╮(╯▽╰)╭)。
  TSRC的种种表现,让我有一种腾讯也要来分互联网安全蛋糕的错觉,全盘布局,步步为营,尤其是最近TSRC在大肆招人。虽然腾讯还没有更明显的动作,但很有可能是在蓄力。也有可能是腾讯大佬们还没反应过来,所以还没下手。
  总之,TSRC是目前几大SRC军团中,最具冠军相的军团,而且在各个方面一直在领跑。
  悲情的BSRC
  接下来我们来聊一下BSRC,在BSRC上提交过几个漏洞,总体感觉是,页面提交体验不是很好,维护的平台和与白帽子交流的人员不是很够,奖品比较给力。总体来说,貌似BSRC在百度不是很受重视,有点像是大款包的情人,偶尔给几个钱哄哄。
  其实百度在一(hen)些(duo)的布局上真的很烂,就像前面的那段打斗地主微博描述的那样,就是在瞎鸡巴打。
  BSRC出现的时间点还是很不错的,那时TSRC刚刚摸着石头过了河,但是还没有做大。BSRC本该可以踩着TSRC的脚印卡好位,就算干不过TSRC,起码也能站住老二的位置。现在却只能遥望TSRC,甚至是ASRC,可惜了啊╮(╯▽╰)╭。
  傲娇的ASRC
  在TSRC的部分谈到了ASRC的傲娇,其实要吐槽ASRC的就是傲娇。阿里在安全技术层面相比于腾讯、百度,要早好几个时间点,所以从技术角度来看,人家有傲娇的资本。但是这点在白帽子们看来就不爽,就好像给ASRC提交漏洞,就像要饭似的。
  比较有意思的一件事情是,大概一个月前,有人在黑吧上提交了一个支付宝的认证绕过漏洞,阿里奖励了那个白帽子5W¥,并且发表公告,鼓励白帽子到ASRC上提交漏洞。然后没过几天,就有人在黑吧上发布了好几个淘宝的高危漏洞。虽然这其中有SRC和黑吧平台竞争的原因,但是也不难看出ASRC真心不怎么招白帽子喜欢。
  也许ASRC的工作人员会感觉委屈,那些什么公告、声明的跟自己一毛钱关系都没有,全是狗日的公关写的,最后受气却是自己~~o(>_
  从ASRC的种种行为来看,让我恍若看到当初ebay想靠发钱来打入中国市场的骚包心态。下面的这个图,很能反映白帽子给ASRC提交漏洞的心态。
    

  “邪恶的”360漏洞平台
  本来是想吐槽各个SRC的,谁知谈站位时莫名的把360给带进来了,简单的聊两句吧(360的公关可都是不是吃素的)。
  国内第一家,也是目前我所知道的唯一的一个花RMB买漏洞的平台,而且还不只买自己的漏洞。
  酱油的其他SRC
  其他的那些SRC在我看来完全是起哄来的,看一看奖励兑换就能看出来,记得有个朋友给金山提了个WPS的任意代码执行,就给了小米3的1/3不到的积分,还有貌似听谁说的某个SRC要用10个getshell漏洞的积分才能换一个移动硬盘。
  还不如把搞SRC的钱给黑吧,让他们帮你们收集漏洞呢,省时省力还省钱。
  总之他们是来打酱油的,大家还是去黑吧提交他们的漏洞吧,好歹效果不错的XSS能换点Q币。