• 个人主页
  • 退出
 

用户协议

WiFi万能钥匙安全应急响应中心

漏洞处理流程和评分标准

一、适用范围

本流程适用于 WiFi 万能钥匙安全应急响应中心(WiFiMasterKey Security Response Center,以下简称 WiFiSRC)收到的所有安全相关漏洞。

二、基本原则

1、WiFi 万能钥匙非常重视自身产品和业务的安全性,我们承诺,对每一条安全问题都有专人跟进、分析和处理,并在规定的时间范围内给予答复。

2、WiFi 万能钥匙支持负责任的漏洞披露和处理过程,我们承诺,对于每位恪守白帽子精神,保护用户利益,帮助我们提升安全质量的用户,我们将给予感谢和回馈。

3、WiFi 万能钥匙反对和谴责一切以漏洞测试为借口,利用安全漏洞损害用户利益、影响业务正常运作的非法行为(包括但不限于利用漏洞盗取用户数据、入侵业务系统、恶意传播漏洞等行为),针对此类行为,我们保留采取进一步法律行动的权利,若有任何问题,请随时联系我们(请发送邮件至客服邮箱 sec@wifi.com)。

4、WiFi 万能钥匙反对和谴责一切利用安全漏洞恐吓用户、攻击竞争对手的行为。

5、WiFi万能钥匙安全应急响应中心(WiFiMasterKey Security Response Center,简称WiFiSRC)是唯一接收上海连尚网络科技有限公司相关产品和业务安全漏洞的平台,我们从未授予任何第三方机构或个人接收上海连尚网络科技有限公司相关产品和业务安全漏洞。任何个人或机构若在第三方平台提交上海连尚网络科技有限公司相关产品和业务安全漏洞,一切后果自负。并且,针对此类行为,我们保留采取进一步法律行动的权利,若有任何问题,请随时联系我们(请发送邮件至客服邮箱 sec@wifi.com)。

6、WiFi 万能钥匙认为每个安全漏洞的处理和整个安全行业的进步,都离不开各方的共同合作。希望企业、安全公司、安全组织、安全研究者一起加入到“负责任的漏洞披露”过程中来,一起为建设安全健康的互联网而努力。

三、漏洞反馈和处理流程

1、预报告阶段

漏洞报告者注册 WiFi 万能钥匙安全应急响应中心平台的账号。网址为: https://sec.wifi.com。

2、报告阶段

漏洞报告者登陆 WiFiSRC 平台,提交漏洞信息(状态:待审核)。

为保证用户能够顺畅地与我们进行互动,或更好地使用我们的产品和服务,本安全应急响应中心可能需要向用户收集:

3、处理阶段

1个工作日内,WiFiSRC 工作人员确认收到漏洞报告,并开始评估(状态:审核中)。

5个工作日内,WiFiSRC 工作人员完成漏洞确认,并给出确认结果,根据结果决定奖励积分或忽略漏洞(状态:已审核)。必要时,我们会与报告者进一步沟通确认漏洞信息,请报告者予以协助。

4、修复阶段

业务部门修复漏洞并安排更新上线(状态:已修复)。

修复时间根据问题的严重程度及修复难度而定,一般来说,严重和高风险漏洞 48 小时内,中风险 7 个工作日内,低风险 14 个工作日内。根据实际情况,实际修复时间可能会有变化,以实际为准。

5、完成阶段

漏洞报告者可以使用已获得积分兑换奖金,兑换请发送申请邮件至客服邮箱 sec@wifi.com。

每季度第一周,WiFiSRC 发布上季度的漏洞处理公告,向上季度的漏洞报告者致谢并在 WiFiSRC 主页公布。

四、安全漏洞评分标准

1、积分计算公式:积分 = 系统重要性 x 漏洞严重性 (1 积分= 1 RMB)

系统重要性/漏洞影响 高危(80~300) 中危(10~80) 低危(1~10)
核心(10) 800~3000 100~800 10~100
一般(7) 560~2100 70~560 7~70
边缘(5) 400~1500 50~400 5~50

2、系统重要性分级

根据应用和业务的重要程度,分为【核心业务】、【一般业务】、【边缘业务】。

1)核心业务系数 10 定义为:业务中涉及注册用户、资金、交易、品牌等的核心业务;

2)一般业务系数 7 定义为:业务中不涉及注册用户、资金、交易、品牌等的一般业务;

3)边缘业务系数 5 定义为:一般业务中的非核心业务。

×注:非连尚直接发布的产品和业务(如合作伙伴等的产品和业务等)的漏洞不接受。

3、漏洞严重性分级

【 高危 】

1)直接获取系统权限的漏洞。包括但不仅限于命令执行、代码执行、获取 Webshell、SQL 注入获取系统权限、缓冲区溢出。

2)直接导致业务拒绝服务的漏洞。包括但不仅限于利用漏洞或业务逻辑漏洞直接导致系统业务不可用。

3)严重的敏感信息泄漏。包括但不仅限于核心 DB 的 SQL 注入,可获取大量核心信息等接口问题引起的敏感信息泄露。

4)严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、批量修改任意帐号密码漏洞。

5)敏感信息泄漏。包括但不仅限于非核心 DB SQL注入、源代码压缩包泄漏、硬编码密码等问题引起的敏感信息泄露。

6)敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息。

7)直接获取移动客户端权限。包括但不仅限于远程命令执行、任意代码执行。

8)越权敏感操作。包括但不仅限于账号越权修改重要信息、重要业务配置修改等较为重要的越权行为。

9)大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型 XSS(包括存储型DOM-XSS)和涉及密码等的漏洞。

【 中危 】

1)需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型 XSS。

2)普通越权操作。包括但不仅限于不正确的直接对象引用、越权查看等。

3)普通信息泄漏。包括但不仅限于客户端明文存储密码、系统路径遍历。

4)普通的逻辑设计缺陷和流程缺陷。

【 低危 】

1)本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务。

2)难以造成危害的反射型 XSS、普通 CSRF。

3)轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN / Git 信息泄漏、异常信息泄露,以及客户端应用本地 SQL 注入(仅泄漏数据库名称、字段名、cache 内容)、日志打印、配置信息、异常信息等。

4)难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的 SQL 注入点,客户端密码明文传输。

4、不计分漏洞

不计分漏洞积分为 0,包括:

1)互联网上已公开的漏洞。

2)在漏洞修复之前擅自公开的。

3)漏洞测试过程中,被连尚检测到并立即修复了的。

4)无法利用的漏洞。包括无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址 / 域名泄漏。

5)非安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。

6)不可重现的漏洞。

7)纯属猜测的问题。

8)以漏洞测试为借口,利用漏洞损害用户利益、窃取用户数据、影响业务正常运作、完全修复前擅自公开漏洞详细 / PoC 等。同时,针对此类行为,连尚保留采取进一步法律行动的权利。

9)确认为非生产环境(比如测试平台、体验平台)的漏洞危害等级将降一等级。

重复漏洞

1)同一个 CGI 文件对应的多个相同漏洞类型的漏洞,属于同一漏洞。

2)不同 CGI 文件对应的多个相同漏洞类型的漏洞,属于不同漏洞。

3)同一个 CGI 文件对应的不同漏洞类型的漏洞,属于不同漏洞。

4)由同一个漏洞源产生的多个漏洞计漏洞数量为一个,例如;服务器某一配置、应用框架某一全局功能、同一文件或模板、泛域名解析等引起的多个问题。

5)如果同一漏洞或同一问题漏洞的不同表现形式在漏洞修复前由多位漏洞报告者提交,在致谢时,所有报告者都将列入致谢列表。但是在进行奖励时,以最先提交并清晰表述、重现此漏洞问题的研究者为唯一受奖励者,漏洞奖励标准以提交漏洞时的网站公告为准。

五、漏洞自动忽略说明

当白帽子首次提交漏洞到 WiFiSRC 后,由于各种原因该漏洞审核结果暂时为未通过,且WiFiSRC 留言反馈希望白帽子提供更进一步说明,等待一周后,若白帽子没有及时更新或补充漏洞说明,该漏洞将被自动忽略。

六、评分标准通用原则

1、奖励只针对通过 WiFi 万能钥匙安全应急响应中心平台(https://sec.wifi.com)或邮箱(sec@wifi.com)提交安全漏洞的白帽子。

2、奖励机制只支持 WiFi 万能钥匙所属上海连尚网络科技有限公司的产品和业务。合作方、供应商等第三方公司的产品和业务不在此奖励范围内。

3、同一漏洞产生的多个漏洞,按照最高级别的漏洞奖励标准执行,漏洞数量计为一。例如同一个 JS 引起的多个 XSS 漏洞、同一个发布系统引起的同一类页面的 XSS 漏洞、框架导致的整站 XSS / CSRF 漏洞、泛域名解析产生的多个 XSS 漏洞、同一个 URL 多个参数的相同问题、自动化运维批量复制部署导致的同一集群的同一批次上线服务器的同一服务或组件漏洞等。

4、各等级漏洞的最终积分由漏洞利用难度及影响范围等综合因素决定,若漏洞触发条件非常苛刻,包括但不限于特定浏览器才可触发的 XSS 漏洞,则可跨等级调整积分。

5、如果同一漏洞或同一问题漏洞的不同表现形式在漏洞修复前由多位漏洞报告者提交,在进行奖励时,我们会以最先提交并清晰表述、重现此漏洞问题的研究者为唯一受奖励者。

6、漏洞挖掘过程应当以不影响 WiFi 万能钥匙业务正常运作、不破坏、不传播漏洞为原则,否则我们有权取消漏洞奖励。

7、在漏洞未修复之前,被公开的漏洞不计分。

8、网上已公开的漏洞不在奖励范围。

9、上海连尚网络科技有限公司员工不得参与本活动、或通过亲友参与本活动。

10、漏洞奖励处理标准的解释权归上海连尚网络科技有限公司安全部所有。

七、奖励发放原则

1)WiFiSRC 工作人员根据漏洞确认结果决定奖励积分或忽略漏洞。积分可叠加,如无特别声明,未使用积分不过期。

2)1 积分可以兑换 1 元人民币,500 积分起兑,个人所得税由连尚网络承担。兑换请发邮件至 WiFi 万能钥匙安全应急响应中心客服邮箱 sec@wifi.com。

3)如果同一漏洞或同一问题漏洞的不同表现形式在漏洞修复前由多位漏洞报告者提交,在致谢时,所有报告者都将列入致谢列表。但是在进行奖励时,我们会以最先提交并清晰表述、重现此漏洞问题的研究者为唯一受奖励者,漏洞奖励标准以提交漏洞时的网站公告为准。

八、争议解决办法

在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过以下方式联系 WiFiSRC 工作人员进行及时有效的沟通:

1、漏洞详情页面的留言板;

2、客服邮箱 sec@wifi.com

WiFiSRC 将按照漏洞报告者利益优先的原则进行处理,必要时会引入外部安全人士共同裁定。

提醒

系统检测到您还未登录或登录态已失效,请先登录