本文轉載自微信公眾號“數世咨詢”（dwconcn）。

高額漏洞賞金引人矚目，但并未緩解應用安全缺陷。

Zoom最近將其眾包安全項目發放的漏洞賞金單價提升到了最高5萬美元。高額賞金登上媒體頭條，吸引安全人才紛紛投入挖洞領賞事業，但也提出了一個問題：漏洞到底值多少錢?

前滲透測試員和Bugcrowd Top10研究員，CDL現任首席信息安全官Alex Haynes與您分享他對漏洞價值幾何的看法。

[[387561]]

幾年前，Zoom的眾包安全項目才剛剛成立的時候，我在Zoom的產品中找到了幾個漏洞。其中三個漏洞已經有其他人在我之前發現了，這在眾包安全領域稱為“重復”，意味著就算漏洞有效你也拿不到報酬。

第四個漏洞就有意思了：新冠肺炎疫情剛爆發的時候Zoom使用率不是暴增么?審查力度自然也就水漲船高，然后就發現同樣的漏洞又出現了。我將這個漏洞標記為“潛在不安全URI可導致本地文件包含、命令注入或遠程連接”，當初我就是這么利用的。總結一下就是：你可以在聊天中向對方發送看起來很像鏈接的統一資源標識符(URI)，這些URI能干各種各樣的事，比如打開惡意網站、下載文件，甚至在用戶的系統上執行各種命令。(神奇的是，連gopher://協議都不在話下。)2020年初重現的這個漏洞與之雷同，主要利用通用命名約定(UNC)路徑將NT LAN Manager(NTLM)憑證發往攻擊者的域。

通報這個漏洞最終讓我得到了高達50美元的“巨資”，漏洞“上達天聽”的整個過程耗時約半年。兩年后，我收到一條消息稱漏洞被修復了，問我有沒有時間檢查一下補丁。(我沒時間。)時至今日，眾包安全領域掏錢爽快多了，但屢屢驚掉下巴的巨額賞金掩蓋了真正的問題：我們真的值得為一個漏洞支付5萬美元嗎?

高額賞金危害從業人員和產品

當然，此類數目并非沒有前例。疫情高峰時，適用于Windows應用的Zoom零日漏洞據稱賣出50萬美元高價，還有Zerodium等公司在漏洞交易“灰色市場”上頻繁流通此類漏洞。

說到灰色市場就扯遠了，我們說回眼前的問題：眾包安全項目不斷高企的賞金支出存在諸多弊端。雖然主要目的是增加項目的吸引力(記住，眾包項目依賴奧威爾式零工經濟，也就是說除非找到有效漏洞，否則你分文不得)，但高額賞金也存在從全職或勞務派遣等合法安全領域不斷吸血安全人才的反效果。

而且，流入生產環境后的漏洞修復成本也得考慮進去。有這5萬美元，用來堵住漏洞根源和施行“安全左移”不是多好?最起碼，這筆錢可以用來做下面這幾件事：

• 聘用全職應用安全工程師
• 執行10到20次滲透測試或代碼審查(取決于日薪)
• 購買全套自動化滲透測試軟件
• 全面部署和實現千萬行代碼級靜態應用安全測試(SAST)軟件(代碼掃描/依賴)
• 培訓成百上千名開發人員安全編程技術

做到上述任何一條，眾包項目報告的這些漏洞都可以遠遠早于進入生產環境之前就識別出來，而且成本還低得多。雖說漏洞獎勵可以抵消最終漏洞利用的金融沖擊，但如果采取安全左移方法，抵消效果還能大上十倍。如果在進入生產環境前SAST或應用安全工程師，甚或代碼審查就發現了10個漏洞，那么代碼重構和為單個漏洞單獨發布一個構建的額外開支就省了下來。

揪住根源而非癥狀

眾包安全加劇了追逐癥狀而非根源的問題，一味提高賞金數額并不會緩和需要解決的結構性問題：良好的應用安全。網絡安全技術領域那一大堆IAM、WAF、DAST、SIEM等等產品的問題與之類似，很多技術不過是在一條全面的應用安全流水線就能解決的問題上再包上幾層繃帶。

單個漏洞五位數的賞金并不意味著安全狀況立馬得到改善。在確定漏洞賞金數額的時候，如果問題變成了“這個漏洞是不是太貴了?”，那你就應該問問自己“我安全左移到位沒有?”了。