携程引发的对各大SRC的吐槽

昨天看到携程被乌云爆出了《支付日志漏洞致用户信用卡信息泄露》的新闻,然后今天早上就看到携程发布的声明,而且声明中提到到了携程的SRC。这让我不由得联想到最近如雨后春笋般的SRC,莫名的有种想吐槽下现在各类SRC的冲动。

1

PS:首先在此声明,本文是作者在打了一通宵三国杀1V1的情况下,不负任何约炮、约架、约菊花责任。

并且作者所能接受的最大程度的粗话是呵呵,再重的话会导致作者心脏病、高血压、中风、脑梗。请各位喷壶准备好担负各种医药费,误工费和精神损失费。

各大SRC的站位

我们先来大体的聊一下当前几大SRC军团势力的站位,首先是腾讯的TSRC最先出现,然后应该是百度的BSRC,再后面是一些乱七八糟的SRC(什么网易、新浪之类的),最后随着阿里的ASRC的出现,各大SRC势力的出场和底盘的划分完成。其他的那些什么SRC不在这篇文章的重点讨论范围之内,原因会在最后说明。

这几大SRC的军团势力都有一个共同的敌人——360漏洞平台(好像是这个名字吧)。其实说实在的这个漏洞平台比各大SRC牛逼多了,人家都是花钱买自己的漏洞,而且又不好直接用钱,都是走的高端礼品的路线。而360就不一样了,它可是花钱买别人的漏洞,而且是实打实的现金RMB。

各大势力和它们的站位大概就描述到这,下面开始正题——吐槽。

记得微博上很久之前有一条微博是说百度、腾讯和360的,具体内容忘了,大概应该这个样子的:

百度、腾讯和360的关系就像是在打斗地主,周鸿祎是牌不怎么好也叫地主,但是打得不错,马化腾是牌好打的也好,李彦宏是攥着一把好牌瞎鸡巴打。

领跑的TSRC

好了,背景铺垫完了,开始请上我们的第一个主角——TSRC。国内第一家模仿国外的公司,建立漏洞提交平台,可以算的上是各大安全平台的老大哥级别,这点从那些安全平台网站的样式上就能看出来,全是拿TSRC当模版做的,比如:ASRC。

其次生态圈建立的也很完善,礼品建议提交,技术分享博客,QQ群,微信群等等。而且对于提交漏洞的白帽子态度也很好,白帽子其实也就图的是这点尊重,当然还有礼品。这点上形成明显对比的就是ASRC,一直是以一副小傲娇的样子,记得有一段时间,曾经公开的说过:我态度就是不好,但是爷们拿钱砸,就不信你们这帮屌丝不来(类似的话,大体意思是这样,具体词句是我脑补的╮(╯▽╰)╭)。

TSRC的种种表现,让我有一种腾讯也要来分互联网安全蛋糕的错觉,全盘布局,步步为营,尤其是最近TSRC在大肆招人。虽然腾讯还没有更明显的动作,但很有可能是在蓄力。也有可能是腾讯大佬们还没反应过来,所以还没下手。

总之,TSRC是目前几大SRC军团中,最具冠军相的军团,而且在各个方面一直在领跑。

悲情的BSRC

接下来我们来聊一下BSRC,在BSRC上提交过几个漏洞,总体感觉是,页面提交体验不是很好,维护的平台和与白帽子交流的人员不是很够,奖品比较给力。总体来说,貌似BSRC在百度不是很受重视,有点像是大款包的情人,偶尔给几个钱哄哄。

其实百度在一(hen)些(duo)的布局上真的很烂,就像前面的那段打斗地主微博描述的那样,就是在瞎鸡巴打。

BSRC出现的时间点还是很不错的,那时TSRC刚刚摸着石头过了河,但是还没有做大。BSRC本该可以踩着TSRC的脚印卡好位,就算干不过TSRC,起码也能站住老二的位置。现在却只能遥望TSRC,甚至是ASRC,可惜了啊╮(╯▽╰)╭。

傲娇的ASRC

在TSRC的部分谈到了ASRC的傲娇,其实要吐槽ASRC的就是傲娇。阿里在安全技术层面相比于腾讯、百度,要早好几个时间点,所以从技术角度来看,人家有傲娇的资本。但是这点在白帽子们看来就不爽,就好像给ASRC提交漏洞,就像要饭似的。

比较有意思的一件事情是,大概一个月前,有人在乌云上提交了一个支付宝的认证绕过漏洞,阿里奖励了那个白帽子5W¥,并且发表公告,鼓励白帽子到ASRC上提交漏洞。然后没过几天,就有人在乌云上发布了好几个淘宝的高危漏洞。虽然这其中有SRC和乌云平台竞争的原因,但是也不难看出ASRC真心不怎么招白帽子喜欢。

也许ASRC的工作人员会感觉委屈,那些什么公告、声明的跟自己一毛钱关系都没有,全是狗日的公关写的,最后受气却是自己~~o(>_<)o ~~。

从ASRC的种种行为来看,让我恍若看到当初ebay想靠发钱来打入中国市场的骚包心态。下面的这个图,很能反映白帽子给ASRC提交漏洞的心态。

2

“邪恶的”360漏洞平台

本来是想吐槽各个SRC的,谁知谈站位时莫名的把360给带进来了,简单的聊两句吧(360的公关可都是不是吃素的)。

国内第一家,也是目前我所知道的唯一的一个花RMB买漏洞的平台,而且还不只买自己的漏洞。

酱油的其他SRC

其他的那些SRC在我看来完全是起哄来的,看一看奖励兑换就能看出来,记得有个朋友给金山提了个WPS的任意代码执行,就给了小米3的1/3不到的积分,还有貌似听谁说的某个SRC要用10个getshell漏洞的积分才能换一个移动硬盘。

还不如把搞SRC的钱给乌云,让他们帮你们收集漏洞呢,省时省力还省钱。

总之他们是来打酱油的,大家还是去乌云提交他们的漏洞吧,好歹效果不错的XSS能换点Q币。

来源:http://jianshu.io/p/54ec223f8383

关于 “携程引发的对各大SRC的吐槽” 的 1 个意见

发表评论

电子邮件地址不会被公开。 必填项已用*标注