136...
  • 个人主页
  • 退出

评估标准

漏洞评估标准

威胁情报评估标准

WiFi万能钥匙安全应急响应中心(WiFiMasterKey Security Response Center,简称WiFiSRC)非常重视自身产品和业务的安全问题,我们深知,挖掘漏洞需要付出宝贵的时间和精力。我们承诺,对每一位报告者反馈的问题都有专人进行跟进和处理,并及时给予答复。同时,对于帮助我们提升安全质量的用户,我们将给予您感谢和回馈。

致谢:所有对这个标准给出建议的白帽子。

如果您对本标准有任何的建议,欢迎发送邮件至sec@wifi.com向我们反馈。建议一经采纳,WiFiSRC 会送出专属定制礼品。

一、安全漏洞评分标准

积分计算公式:积分 = 业务系数 x 漏洞严重性 (1 积分= 1 RMB)
业务系数:核心业务(10),一般业务(4),边缘业务(1)。
漏洞等级:严重漏洞(500~600),高危漏洞(200~300),中危漏洞(30~50),低危漏洞(10~20),无影响漏洞(0)。

漏洞等级/业务系数 严重
(500~600)
高危
(200~300)
中危
(30~50)
低危
(10~20)
核心业务(10) 5000~6000 2000~3000 300~500 100~200
一般业务(4) 2000~2400 800~1200 120~200 40~80
边缘业务(1) 500~600 200~300 30~50 10~20

注:关于严重等级漏洞,除了基本积分奖励之外,部分严重漏洞还可以根据漏洞审核结果给予额外奖励至少人民币1万元起(额外奖励审核原则见严重性分级说明)。

二、资产分级

1)核心业务:WiFi万能钥匙业务,连尚读书业务,连信业务。

2)一般业务:业务名称中带连尚和掌门字样的,用于核心业务的辅助性业务以及其他重要业务(诸如连尚自媒体业务,掌门集团信息化业务、连尚小游戏平台业务等)

3)边缘业务:业务名称中不带连尚字样,但是域名/服务器IP在连尚公司及控股公司账号名下、业务归属掌门集团实际控制的第三方业务或内部孵化期的项目。

注:连尚钱包业务不在SRC评测范围内。

三、漏洞严重性分级

【 严重漏洞 】

1)直接获取核心服务器权限漏洞,包括但不限于内存破坏、直接上传WEBSHELL、利用逻辑缺陷任意加载远程代码等可利用的远程代码执行漏洞。

2)核心敏感数据信息泄露漏洞,包括但不限于系统权限控制不严格等导致的敏感数据泄露漏洞。

3)核心业务的逻辑漏洞,能够大量用于获取利益并造成公司、用户损失的漏洞,包括但不限于账户密码校验逻辑、核心接口数据验证逻辑、支付逻辑漏洞等。

4)可以直接命令执行的SQL注入漏洞;核心DB业务利用难度低的 SQL 注入,可获取大量核心用户信息等接口问题引起的敏感信息泄露。

关于严重漏洞,WiFiSRC根据漏洞实际情况予以额外奖励,额外奖励金额至少人民币1万元起,额外奖励的漏洞评估原则如下:

涉及可大批量获取账户密码信息、控制用户权限等漏洞;

涉及可大批量获取用户敏感信息;

涉及可获取重要服务器控制权限等漏洞。

【 高危漏洞 】

1)直接获取普通服务器或客户端权限漏洞,包括但不限于内存破坏、逻辑权限等可利用的远程代码执行漏洞。

2)重要业务和系统层的数据信息泄露漏洞,包括但不限于重要用户信息、订单信息、数据文件信息,Git/DS_Store问题导致的含重要信息的源文件泄漏等。

3)本地代码执行漏洞,包括但不限于内存破坏、类型混淆、整数问题等导致的可利用本地代码执行漏洞。

4)不需交互导致的重点业务功能漏洞,包括但不限于存储XSS、文件遍历、参数处理不当,导致的远程拒绝服务漏洞。

5)业务中关键功能的逻辑漏洞,能够有限获取利益造成公司、用户损失的漏洞。

6)业务的核心DB利用难度高的 SQL 注入,无法直接获取大量敏感数据。业务的非核心DB利用难度低的SQL注入,可以获取大量业务数据的漏洞。

【 中危漏洞 】

1)需交互才能对用户产生危害的安全漏洞、包括但不限于批量传播的XSS蠕虫、获取敏感信息的json劫持、敏感操作的CSRF等。

2)普通信息泄露漏洞(包括不限于Git/DS_Store问题导致非重要的静态文件泄露, 客户端明文存储密码、客户端密码明文传输)。

3)远程拒绝服务漏洞,包括但不限于攻击接口、页面、组件导致的拒绝服务等。

4)业务非核心功能的逻辑漏洞,包括但不限于组件导出、权限控制不当导致的泄露问题、重定向漏洞等。

5)存储型XSS不能影响全量用户或不能提供输入点的或有httponly防护的应用。

6)一般风险的业务安全问题。如营销活动作弊、业务规则绕过。

7)业务非核心DB无法利用的SQL注入且不可直接获取大量业务数据。APP客户端本地DB注入漏洞且能获取本地敏感信息。

【 低危漏洞 】

1)在特殊条件下才能获取用户信息的安全漏洞,包括但不限于特定浏览器下的反射XSS、存储XSS,CRLF。

2)基本无影响的信息泄露漏洞,包括但不限于服务器物理路径、phpinfo、边缘系统文件、本地日志等。

3)本地拒绝服务漏洞,包括但不限于PC端、 移动端本地组件、进程的拒绝服务,由Android组件权限暴露、普通应用权限引起的问题等。

4)可能存在安全隐患但利用成本很高的漏洞,包括但不限于特殊情况下的中间人攻击、需要用户连续交互的敏感安全漏洞。

5)低风险业务逻辑安全问题。

6)低危的越权漏洞情况:A、攻击门槛较高 B、无敏感信息 C、用户无感知

【 无影响漏洞 】

无影响漏洞积分为 0,包括:

1)安全无关的产品BUG,包括但不限于产品体验或设计不好、网页乱码、样式混乱、静态/下载资源类文件的目录遍历、应用兼容性等问题。非安全漏洞导致的服务无法访问等。

2)无法利用或无危害的“漏洞”,包括但不限于恶作剧CSRF(对用户无实际影响)、无意义的json劫持,无法影响他人的本地拒绝服务 、Self-XSS、无意义的CORS、无意义的信息泄露(内网IP、域名)等。

3)无任何证据的猜测,非掌门旗下的产品业务的安全漏洞。

4)开源框架部分的源代码泄漏和逆向反编译出来的源代码。

【 重复漏洞 】

1)同一个 CGI 文件,同一处代码对应的多个相同漏洞类型的漏洞,属于同一漏洞。

2)不同 CGI 文件,不同处代码对应的多个相同漏洞类型的漏洞,属于不同漏洞。

3)同一个 CGI 文件,同一处代码对应的产生的多个不同漏洞类型的漏洞,属于不同漏洞。

4)由同一个漏洞源产生的多个漏洞计漏洞数量为一个,例如;服务器某一配置、应用框架某一全局功能、同一文件或模板、泛域名解析等引起的多个问题。

5)同一漏洞产生的多个漏洞,按照最高级别的漏洞奖励标准执行,漏洞数量计为一。例如同一个 JS 引起的多个 XSS 漏洞、同一个发布系统引起的多个页面的 XSS 漏洞、框架导致的整站 XSS / CSRF 漏洞、泛域名解析产生的多个 XSS 漏洞、同一处SQL拼接语句引起的多个参数SQL注入,同一个 URL 多个参数的相同问题等。

6)如果同一漏洞或同一问题漏洞的不同表现形式在漏洞修复前由多位漏洞报告者提交,在致谢时,所有报告者都将列入致谢列表。但是在进行奖励时,以最先提交并清晰表述、重现此漏洞问题的研究者为唯一受奖励者,漏洞奖励标准以提交漏洞时的网站公告为准。

【漏洞自动忽略规则】

当白帽子首次提交漏洞到 WiFiSRC 后,由于各种原因该漏洞审核结果暂时为未通过,且WiFiSRC 留言反馈希望白帽子提供更进一步说明,等待一周后,若白帽子没有及时更新或补充漏洞说明,该漏洞将被自动忽略。

四、提交流程

1、预报告阶段

漏洞报告者注册 WiFi 万能钥匙安全应急响应中心平台的账号。网址为: https://sec.wifi.com。

2、报告阶段

漏洞报告者登陆 WiFiSRC 平台,提交漏洞信息(状态:待审核)。

为保证用户能够顺畅地与我们进行互动,或更好地使用我们的产品和服务,本安全应急响应中心可能需要向用户收集:

3、处理阶段

1个工作日内,WiFiSRC 工作人员确认收到漏洞报告,并开始评估(状态:审核中)。

5个工作日内,WiFiSRC 工作人员完成漏洞确认,并给出确认结果,根据结果决定奖励积分或忽略漏洞(状态:已确认)。必要时,我们会与报告者进一步沟通确认漏洞信息,请报告者予以协助。

4、修复阶段

业务部门修复漏洞并安排更新上线(状态:已修复)。

修复时间根据问题的严重程度及修复难度而定,一般来说,严重和高风险漏洞 48 小时内,中风险 7 个工作日内,低风险 15 个工作日内。根据实际情况,实际修复时间可能会有变化,以实际为准。

5、完成阶段

漏洞报告者可以使用已获得积分兑换奖金,兑换请发送申请邮件至客服邮箱 sec@wifi.com。

五、评分标准原则

1、奖励只针对通过 WiFi 万能钥匙安全应急响应中心平台(https://sec.wifi.com)或邮箱(sec@wifi.com)提交安全漏洞的白帽子。

2、奖励机制只支持 WiFi 万能钥匙以及所属掌门集团的产品和业务。合作方、供应商等第三方公司的产品和业务不在此奖励范围内。

3、各等级漏洞的最终积分由漏洞利用难度及影响范围等综合因素决定,若漏洞触发条件非常苛刻,包括但不限于特定浏览器才可触发的 XSS 漏洞,则可跨等级调整积分。

4、如果同一漏洞或同一问题漏洞的不同表现形式在漏洞修复前由多位漏洞报告者提交,在进行奖励时,我们会以最先提交并清晰表述、重现此漏洞问题的研究者为唯一受奖励者。

5、漏洞挖掘过程应当以不影响WiFi 万能钥匙以及所属掌门集团的产品和业务正常运作、不破坏、不传播漏洞为原则,否则WiFiSRC有权取消漏洞奖励,并有权追究相关白帽子的法律责任,包括但不限于要求赔偿掌门集团因此遭受的全部损失。

6、在漏洞未修复之前,被公开的漏洞不计分。

7、网上已公开的漏洞不在奖励范围。

8、漏洞奖励处理标准的解释权归WiFiSRC所有。

9、确认为非生产环境(比如测试平台、体验平台)的漏洞严重性等级降级处理。

六、奖励发放原则

1)WiFiSRC 工作人员根据漏洞确认结果决定奖励积分或忽略漏洞。积分可叠加,如无特别声明,未使用积分不过期。

2)1 积分可以兑换 1 元人民币,100 积分起兑,个人所得税由掌门集团代扣代缴。换请发邮件至 WiFi 万能钥匙安全应急响应中心客服邮箱 sec@wifi.com。

3)如果同一漏洞或同一问题漏洞的不同表现形式在漏洞修复前由多位漏洞报告者提交,在致谢时,所有报告者都将列入致谢列表。但是在进行奖励时,我们会以最先提交并清晰表述、重现此漏洞问题的研究者为唯一受奖励者,漏洞奖励标准以提交漏洞时的网站公告为准。

七、争议解决办法

在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过以下方式联系 WiFiSRC 工作人员进行及时有效的沟通:

1、漏洞详情页面的留言板;

2、客服邮箱 sec@wifi.com;

3、微信公众号

扫一扫关注微信公众号

WiFiSRC 将按照漏洞报告者利益优先的原则进行处理,必要时会引入外部安全人士共同裁定。

八、SRC漏洞评审原则和法律声明

1、WiFiSRC非常重视自身产品和业务的安全性,我们承诺,对每一条安全问题都有专人跟进、分析和处理,并在规定的时间范围内给予答复。

2、WiFiSRC支持负责任的漏洞披露和处理过程,我们承诺,对于每位恪守白帽子精神,保护用户利益,帮助我们提升安全质量的用户,我们将给予感谢和回馈。

3、WiFiSRC反对和谴责一切以漏洞测试为借口,利用安全漏洞损害用户利益、影响业务正常运作的非法行为(包括但不限于利用漏洞盗取用户数据、入侵业务系统、恶意传播漏洞等行为),针对此类行为,我们保留追究进一步法律责任的权利。

4、WiFiSRC反对和谴责一切利用安全漏洞恐吓用户、攻击竞争对手的行为。

5、WiFiSRC是唯一接收掌门集团相关产品和业务安全漏洞的平台,我们从未授予任何第三方机构或个人接收掌门集团相关产品和业务安全漏洞。任何个人或机构若在第三方平台提交掌门集团相关产品和业务安全漏洞,本公司有权追究前述人员的法律责任。

6、我们认为每个安全漏洞的处理和整个安全行业的进步,都离不开各方的共同合作。希望企业、安全公司、安全组织、安全研究者一起加入到“负责任的漏洞披露”过程中来,一起为建设安全健康的互联网而努力。

九、注意事项

1、恶意报告者将作封号处理

2、报告无关问题的将不予答复

3、掌门集团员工不得参与或通过朋友参与漏洞奖励计划

4、奖励计划仅适用于通过WiFiSRC报告漏洞的用户

最终解释权归WiFiSRC所有

2019年10月16日

提醒

系统检测到您还未登录或登录态已失效,请先登录