~# n0tr00t Security Team

我的地盘我做主 – 关于那183个xss

26 Oct 2012 - Superhei

[+] Author: Superhei
[+] Team: n0tr00t security team
[+] From: http://www.n0tr00t.com
[+] Create: 2012-10-26

在前面的微博我宣布推出TSRC平台,很朋友都来询问原因,于是有了这篇blog。

对于TSRC,早在8月的博文 《负责的安全漏洞披露过程》 一文里,我曾经大力赞扬TSRC平台”这样的官方平台出现,对于国内的安全环境无疑有着巨大的意义。这个对于天朝的甲方来说是全新的模式,就我加入的TSRC平台以来,最开始虽然感觉到各种的缺陷不足,但是整体来说都比较和谐进步的发展,但是好事不长,某些火星人般的意识及管理混乱可能直接废掉这个平台!

而这一切又“那183个xss”开始… 在这个183事件的处理过程里充分暴露了各种问题,甚至出现管理混乱随时修改评分标准(“三重标准”)来达到不承认漏洞的情况,这也直接回到“解放前”的“不承认漏洞的阶段”!

我们首先说明下“183个xss”的情况,计算的根据就是“一个url不同的参数导致的漏洞按不同的漏洞计算”。比如:http://www.qq.com/vul.htm?var1=[xss]&var2=[xss] 这个因为有2个参数都可以导致xss,所以是按2个漏洞计算。可能有的朋友认为以往报漏洞都是按一个计算的,没必要分那么清楚。开始我也这样认为的,但是事实上腾讯的开发不这么认为!如我报告一个xss:http://dy.qq.com/php/rss_request_catalog.php?_=1344083308523&qq=0123230273&date=&jv=0&cata=def&site=r%3Ch1%3Eaaa&tp=3 实际上cata和site参数都可以利用,不过悲剧的是,他们补丁漏洞就只补丁site,于是我只好把cata作为一个新漏洞提交,他们确认修补了。如下图:

于是就有了后面的domxss参数不同而按不同的漏洞提交,这个也是他们开发喜欢的方式。如下图:

直到183个xss的出现,他们“慌”了!一下秒刷前面的标准,甚至出现了前面提到的“三重标准”。

于是就有了下面的评分标准:

腾讯-xxxx 15:30:00 黑哥,你提交的那183个dom-xss漏洞我都梳理了一遍,会给你新增评分288分。

计算方式如下,也会写入评分标准中,专门针对dom-xss的情况:

共计24个域名,每个域名下面有2个触发漏洞的js文件,共计48个,每个dom-xss按6分计算,共计288分。

[这个是一个全新的标准:每个domxss为6分,个数按js文件个数计算!]

第三重:也是TSRC平台上最终的评分:

【官方】xxxx 2012-10-25 16:54:28 分数计算方式如下,也会写入评分标准中,专门针对dom-xss的情况:

共计24个域名,每个域名下面有2个触发漏洞的js文件,共计48个,每个dom-xss按3分计算,共计144分。

[单个分的标准回到了原始“旧标准”的3分,但是个数还是俺他们“新标准”计算。]

当然他们的二、三重标准我都没有同意,因为他们不承认183个漏洞!!!!于是我就这样被接受144分!

另外我将公开在TSRC发布的已经修补过的还有是被忽视的一些漏洞的细节,以及他们无休止的补丁的8挂过程。