136...
  • 个人主页
  • 退出

评估标准

漏洞评估标准

威胁情报评估标准

一、基本原则

WiFi万能钥匙一直致力于为用户提供免费、稳定、安全的上网服务,我们非常重视自身产品和业务的安全问题,希望通过WiFi万能钥匙安全应急响应中心(WiFiMasterKey Security Response Center,简称WiFiSRC)加强与业界个人、组织及公司密切合作,来提升整体安全水平。

WiFi万能钥匙重视负责任的漏洞披露和处理过程,我们承诺,对每一位报告者提交的问题都会有专人跟进、分析和处理,并及时给予答复。同时,对于每位恪守白帽子精神,帮助WiFi万能钥匙提升安全质量的用户,我们将给予您郑重的感谢和回馈。

二、限制与指引

WiFiSRC鼓励安全研究人员积极发现并向我们报告属于我司产品或服务中的安全漏洞,但同时希望您的行为遵循以下要求:

1. 请您不要在最低验证或者漏洞指标核实测试要求范畴之外利用任何安全漏洞;

2. 请您不要进行网络拒绝服务(DoS 或DDoS)测试;

3. 请您不要进行物理测试、社会工程学测试或任何其他非技术漏洞测试;

4. 请您尽量避免访问任何存储在我司信息系统内的数据,除非访问该数据为验证安全漏洞存在的必要步骤。如您在本原则允许的测试过程中发现以下信息,请立即停止测试并及时通知我们:

1) 个人识别信息;

2) 金融信息(信用信息或银行账户号码信息等);

3) 企业的财产信息或商业秘密;

5. 请您不要在任何情况下泄露漏洞测试过程中所获知的任何数据;

6. 在收到我司的明确书面授权之前,请不要公开披露或提供关于我司产品或服务安全漏洞的任何细节信息,如您无法确定能否继续进行测试,请与我们联系;

7. 我们反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害系统及用户的利益的攻击行为,我们保留追究法律责任的权利。

三、漏洞奖励标准

1. 漏洞接收范围:

业务等级系数是按照WiFi万能钥匙的业务线及产品的重要性来进行划分的,分为二个等级:核心业务域、基础业务域,每个等级有对应的系数范围。核心业务为WiFi万能钥匙,其他业务均为基础业务。

1) WiFi万能钥匙的APP:

WiFi万能钥匙、WiFi万能钥匙极速版、WiFi万能钥匙主人版

2) WiFi万能钥匙域名(包括以下):

*. wifi.com;*.51y5.net;*.51y5.com;*.wkanx.com;*.lianwifi.com;*.lsttnews.com;*y5en.com

2. 评分细则:

根据报告的漏洞的危害程度一共分为四个级别:严重、高危、中危、低危;根据漏洞危害程度、业务等级、触发场景等综合因素给予相应的漏洞奖励。

漏洞等级/业务系数 严重 高危 中危 低危
核心业务 3000~4000 1000~2000 300~500 100~200
基础业务 1000~2000 400~1000 100~200 40~60

注:1积分=1 RMB。漏洞等级、业务等级及其定义最终以审核结果为准,部分严重漏洞还可以根据漏洞审核结果给予额外奖励至少人民币1万元起(额外奖励审核原则见严重性分级说明)

四、平台福利

1. 首杀奖励:

以自然周为单位,本周提交的第一个有效漏洞即为首杀漏洞,可获得相应的额外漏洞奖励:首杀漏洞为严重/高危时,奖励翻1.5倍。

不论审核漏洞的先后顺序,首杀漏洞以白帽子提交漏洞时间为评判标准:

若本周提交的第一个漏洞为有效漏洞,则该漏洞即为首杀漏洞;若提交的第一个漏洞被忽略,则顺延判断提交的第二个漏洞是否为有效漏洞,以此类推,直至产生本周首杀漏洞为止。

注:如同时提交多个漏洞,优先被确认的并非本周第一个漏洞,请耐心等待审核结果。本周首杀漏洞奖励最晚在次周周日24点前完成发放。SRC举行翻倍奖励活动期间,首杀漏洞奖励暂停。

2. 季度奖励

综合每个季度排名,按当季漏洞实际情况,我们给予季度积分排名前三的用户奖励:

★ 第一名 奖励3000元积分

★ 第二名 奖励2000元积分

★ 第三名 奖励1000元积分

☆季度第一名:该季度贡献值最低3000,该季度须包含至少3个高危及以上评级的有效漏洞;

☆季度第二名:该季度贡献值最低2000,该季度须包含至少2个高危及以上评级的有效漏洞;

☆季度第三名:该季度贡献值最低1000. 该季度须包含至少1个高危及以上评级的有效漏洞;

3. 年终奖励

综合年度排名,按当年漏洞实际情况,我们给予年度排名前三的用户奖励:

★ 第一名 奖励20000元积分

★ 第二名 奖励15000元积分

★ 第三名 奖励8000元积分

☆年度第一名:该年度贡献值最低15000,该年度须包含至少9个高危及以上评级的有效漏洞;

☆年度第二名:该年度贡献值最低10000,该年度须包含至少4个高危及以上评级的有效漏洞;

☆年度第三名:该年度贡献值最低5000,该年度须包含至少2个高危及以上评级的有效漏洞.

五、漏洞评级标准

【 严重漏洞 】

1)直接获取核心服务器权限漏洞,包括但不限于内存破坏、直接上传WEBSHELL、利用逻辑缺陷任意加载远程代码等可利用的远程代码执行漏洞。

2)核心敏感数据信息泄露漏洞,包括但不限于系统权限控制不严格等导致的敏感数据泄露漏洞。

3)核心业务的逻辑漏洞,能够大量用于获取利益并造成公司、用户损失的漏洞,包括但不限于账户密码校验逻辑、核心接口数据验证逻辑、支付逻辑漏洞等。

4)可以直接命令执行的SQL注入漏洞;核心DB业务利用难度低的 SQL 注入,可获取大量核心用户信息等接口问题引起的敏感信息泄露。

关于严重漏洞,WiFiSRC根据漏洞实际情况予以额外奖励,额外奖励金额至少人民币1万元起,额外奖励的漏洞评估原则如下:

涉及可大批量获取账户密码信息、控制用户权限等漏洞;

涉及可大批量获取用户敏感信息;

涉及可获取重要服务器控制权限等漏洞。

【 高危漏洞 】

1)直接获取普通服务器或客户端权限漏洞,包括但不限于内存破坏、逻辑权限等可利用的远程代码执行漏洞。

2)重要业务和系统层的数据信息泄露漏洞,包括但不限于重要用户信息、订单信息、数据文件信息,Git/DS_Store问题导致的含重要信息的源文件泄漏等。

3)本地代码执行漏洞,包括但不限于内存破坏、类型混淆、整数问题等导致的可利用本地代码执行漏洞。

4)不需交互导致的重点业务功能漏洞,包括但不限于存储XSS、文件遍历、参数处理不当,导致的远程拒绝服务漏洞。

5)业务中关键功能的逻辑漏洞,能够有限获取利益造成公司、用户损失的漏洞。

6)业务的核心DB利用难度高的 SQL 注入,无法直接获取大量敏感数据。业务的非核心DB利用难度低的SQL注入,可以获取大量业务数据的漏洞。

【 中危漏洞 】

1)需交互才能对用户产生危害的安全漏洞、包括但不限于批量传播的XSS蠕虫、获取敏感信息的json劫持、敏感操作的CSRF等。

2)普通信息泄露漏洞(包括不限于Git/DS_Store问题导致非重要的静态文件泄露, 客户端明文存储密码、客户端密码明文传输)。

3)远程拒绝服务漏洞,包括但不限于攻击接口、页面、组件导致的拒绝服务等。

4)业务非核心功能的逻辑漏洞,包括但不限于组件导出、权限控制不当导致的泄露问题、重定向漏洞等。

5)存储型XSS不能影响全量用户或不能提供输入点的或有httponly防护的应用。

6)一般风险的业务安全问题。如营销活动作弊、业务规则绕过。

7)业务非核心DB无法利用的SQL注入且不可直接获取大量业务数据。APP客户端本地DB注入漏洞且能获取本地敏感信息。

【 低危漏洞 】

1)在特殊条件下才能获取用户信息的安全漏洞,包括但不限于特定浏览器下的反射XSS、存储XSS,CRLF。

2)基本无影响的信息泄露漏洞,包括但不限于服务器物理路径、phpinfo、边缘系统文件、本地日志等。

3)本地拒绝服务漏洞,包括但不限于PC端、 移动端本地组件、进程的拒绝服务,由Android组件权限暴露、普通应用权限引起的问题等。

4)可能存在安全隐患但利用成本很高的漏洞,包括但不限于特殊情况下的中间人攻击、需要用户连续交互的敏感安全漏洞。

5)低风险业务逻辑安全问题。

6)低危的越权漏洞情况:A、攻击门槛较高 B、无敏感信息 C、用户无感知

【 无影响漏洞 】

无影响漏洞积分为 0,包括:

1)安全无关的产品BUG,包括但不限于产品体验或设计不好、网页乱码、样式混乱、静态/下载资源类文件的目录遍历、应用兼容性等问题。非安全漏洞导致的服务无法访问等。

2)无法利用或无危害的“漏洞”,包括但不限于恶作剧CSRF(对用户无实际影响)、无意义的json劫持,无法影响他人的本地拒绝服务 、Self-XSS、无意义的CORS、无意义的信息泄露(内网IP、域名)等。

3)无任何证据的猜测,非掌门旗下的产品业务的安全漏洞。

4)开源框架部分的源代码泄漏和逆向反编译出来的源代码。

【 重复漏洞 】

1)同一个 CGI 文件,同一处代码对应的多个相同漏洞类型的漏洞,属于同一漏洞。

2)不同 CGI 文件,不同处代码对应的多个相同漏洞类型的漏洞,属于不同漏洞。

3)同一个 CGI 文件,同一处代码对应的产生的多个不同漏洞类型的漏洞,属于不同漏洞。

4)由同一个漏洞源产生的多个漏洞计漏洞数量为一个,例如;服务器某一配置、应用框架某一全局功能、同一文件或模板、泛域名解析等引起的多个问题。

5)同一漏洞产生的多个漏洞,按照最高级别的漏洞奖励标准执行,漏洞数量计为一。例如同一个 JS 引起的多个 XSS 漏洞、同一个发布系统引起的多个页面的 XSS 漏洞、框架导致的整站 XSS / CSRF 漏洞、泛域名解析产生的多个 XSS 漏洞、同一处SQL拼接语句引起的多个参数SQL注入,同一个 URL 多个参数的相同问题等。

6)如果同一漏洞或同一问题漏洞的不同表现形式在漏洞修复前由多位漏洞报告者提交,在致谢时,所有报告者都将列入致谢列表。但是在进行奖励时,以最先提交并清晰表述、重现此漏洞问题的研究者为唯一受奖励者,漏洞奖励标准以提交漏洞时的网站公告为准。

【漏洞自动忽略规则】

当白帽子首次提交漏洞到 WiFiSRC 后,由于各种原因该漏洞审核结果暂时为未通过,且WiFiSRC 留言反馈希望白帽子提供更进一步说明,等待一周后,若白帽子没有及时更新或补充漏洞说明,该漏洞将被自动忽略。

六、漏洞提交和处理流程

1、预报告阶段

漏洞报告者注册 WiFi 万能钥匙安全应急响应中心平台的账号。网址为: https://sec.wifi.com。

2、报告阶段

漏洞报告者登陆 WiFiSRC 平台,提交漏洞信息(状态:待审核)。

为保证用户能够顺畅地与我们进行互动,或更好地使用我们的产品和服务,本安全应急响应中心可能需要向用户收集:

3、处理阶段

1个工作日内,WiFiSRC 工作人员确认收到漏洞报告,并开始评估(状态:审核中)。

5个工作日内,WiFiSRC 工作人员完成漏洞确认,并给出确认结果,根据结果决定奖励积分或忽略漏洞(状态:已确认)。必要时,我们会与报告者进一步沟通确认漏洞信息,请报告者予以协助。

4、修复阶段

业务部门修复漏洞并安排更新上线(状态:已修复)。

修复时间根据问题的严重程度及修复难度而定,一般来说,严重和高风险漏洞 48 小时内,中风险 7 个工作日内,低风险 15 个工作日内。根据实际情况,实际修复时间可能会有变化,以实际为准。

5、完成阶段

漏洞报告者可以使用已获得积分兑换奖金,兑换请发送申请邮件至客服邮箱 sec@zenmen.com。

七、奖励发放机制

1. WiFiSRC 工作人员根据漏洞确认结果决定奖励积分或忽略漏洞。积分可叠加,如无特别声明,未使用积分不过期。

2. 1 积分可以兑换 1 元人民币,100 积分起兑。兑换请发邮件至 WiFi 万能钥匙安全应急响应中心客服邮箱 sec@zenmen.com。

3. 每月15日前白帽子可申领兑换积分,将于本月18日统一结算,次月的7个工作日内由财务进行汇款

4. 兑换现金时,白帽子需提供准确的汇款信息,如因信息错误导致汇款失败,WiFiSRC将联系您再次确认打款信息,并于次月再次尝试打款 。WiFi万能钥匙安全应急响应中心承诺,所有报告者提交的个人信息仅用于奖金的发放,不会用于任何其他用途,不外泄。

5. 兑换非现金礼品时,如因报告者过失导致礼品丢失或者损坏,WiFiSRC将不承担责任;如因快递公司问题及其他人力不可抗拒因素导致礼品丢失或者损坏,最终责任由WiFiSRC承担。

八、争议解决办法

漏洞处理过程中,如果漏洞报告者对处理流程、评级评分具有异议的,请通过邮件发送至sec@zenmen.com或微信公众号进行反馈,WiFiSRC将根据漏洞报告者利益优先的原则进行处理。

九、SRC漏洞评审原则和法律声明

1、WiFiSRC非常重视自身产品和业务的安全性,我们承诺,对每一条安全问题都有专人跟进、分析和处理,并在规定的时间范围内给予答复。

2、WiFiSRC支持负责任的漏洞披露和处理过程,我们承诺,对于每位恪守白帽子精神,保护用户利益,帮助我们提升安全质量的用户,我们将给予感谢和回馈。

3、WiFiSRC反对和谴责一切以漏洞测试为借口,利用安全漏洞损害用户利益、影响业务正常运作的非法行为(包括但不限于利用漏洞盗取用户数据、入侵业务系统、恶意传播漏洞等行为),针对此类行为,我们保留追究进一步法律责任的权利。

4、WiFiSRC反对和谴责一切利用安全漏洞恐吓用户、攻击竞争对手的行为。

5、WiFiSRC是唯一接收掌门集团相关产品和业务安全漏洞的平台,我们从未授予任何第三方机构或个人接收掌门集团相关产品和业务安全漏洞。任何个人或机构若在第三方平台提交掌门集团相关产品和业务安全漏洞,本公司有权追究前述人员的法律责任。

6、我们认为每个安全漏洞的处理和整个安全行业的进步,都离不开各方的共同合作。希望企业、安全公司、安全组织、安全研究者一起加入到“负责任的漏洞披露”过程中来,一起为建设安全健康的互联网而努力。

十、注意事项

1、恶意报告者将作封号处理

2、报告无关问题的将不予答复

3、掌门集团员工不得参与或通过朋友参与漏洞奖励计划

4、奖励计划仅适用于通过WiFiSRC报告漏洞的用户

最终解释权归WiFiSRC所有

2023年1月4日

提醒

系统检测到您还未登录或登录态已失效,请先登录