公告編号:合合安全應急響應中心漏洞處理(lǐ)流程及評分(fēn)标準v1.1作(zuò)者:ISRC*Admin發布日(rì)期:2021/06/30
一、ISRC介紹
合合信息安全應急響應中心(Intsig Security Response Center,以下簡稱ISRC,https://security.intsig.com/),是緻力于保障合合信息所有用戶、業務和産品的安全,加強與業界同仁合作(zuò)、交流的平台。
二、基本原則
1.合合信息非常重視自(zì)身(shēn)産品和業務的安全問(wèn)題,對每一位報告者反饋的問(wèn)題都(dōu)有專人(rén)進行跟進、分(fēn)析和處理(lǐ),并及時給予答複。
2.合合信息支持負責任的漏洞披露和處理(lǐ)過程,對于每位恪守白(bái)帽子精神,保護用戶利益,幫助合合信息提升安全質量的用戶,我們将給予感謝和回饋。
3.合合信息反對和譴責一切以漏洞測試爲借口,利用安全漏洞進行破壞、損害用戶利益的黑(hēi)客行爲,包括但(dàn)不限于利用漏洞盜取用戶隐私及虛拟财産、入侵業務系統、竊取用戶數據、惡意傳播漏洞等。
4.合合信息反對和譴責一切利用安全漏洞恐吓用戶、攻擊競争對手的行爲。
5.合合信息認爲每個安全漏洞的處理(lǐ)和整個安全行業的進步,都(dōu)離(lí)不開各方的共同合作(zuò)。希望 企業、安全公司、安全組織、安全研究者一起加入到“負責任的漏洞披露”過程中來(lái),一起爲建設安全健康的互聯網而努力。
三、漏洞處理(lǐ)流程
1. 訪問(wèn) https://security.intsig.com/注冊帳号并登陸。
2. 完善個人(rén)信息。
3. 在線提交漏洞。
4. 漏洞審核通過後獲取安全币及積分(fēn)。
5. 兌換獎金或禮品,ISRC每月會統計(jì)上月10号至本月10号期間兌換的獎勵,并将會在當月的20-25号爲威脅情報報告者發出禮品(遇節假日(rì)順延)。
四、獎勵規則
核心業務:
掃描全能王、名片全能王、啓信寶、啓信寶企業版、Textin、蜜蜂作(zuò)業、合合官網
一般業務:
名片全能王企業版、六度推、桔子兼職、AI開放(fàng)平台、其他(tā)産品或信息系統
| 業務分(fēn)級/安全币 | 嚴重漏洞 | 高危漏洞 | 中危漏洞 | 低危漏洞 |
| 核心業務 | 200-500 | 100-200 | 30-100 | 5-10 |
| 一般業務 | 150-200 | 50-100 | 10-30 | 2-8 |
注:當前 ISRC 平台 1 安全币大(dà)約相(xiàng)當于 10 元人(rén)民(mín)币。
五、漏洞等級說(shuō)明
[嚴重] 安全币 150~500
本等級包括:
(1)直接獲取權限的漏洞(服務器權限、重要産品客戶端權限)。包括但(dàn)不限于遠(yuǎn)程任意命令執行、上傳webshell、可(kě)利用遠(yuǎn)程内核代碼執行漏洞以及其它因邏輯問(wèn)題導緻的可(kě)利用的遠(yuǎn)程代碼執行漏洞。
(2)直接導緻嚴重的信息洩漏漏洞。包括但(dàn)不限于重要DB的SQL注入漏洞。
(3)直接導緻嚴重影(yǐng)響的邏輯漏洞。包括但(dàn)不限于查看(kàn)任意用戶名片、僞造任意用戶登錄、賬号密碼更改漏洞。
[高] 安全币 50~200
本等級包括:
(1)嚴重的敏感信息洩漏(除撞庫行爲或者通過暴力提交行爲獲取的部分(fēn)信息)。包括但(dàn)不僅限于普通DB(資金、用戶身(shēn)份、訂單) 的 SQL 注入,可(kě)獲取大(dà)量核心用戶的身(shēn)份信息、訂單信息、銀行卡信息等接口問(wèn)題引起的敏感信息洩露。
(2)嚴重的邏輯設計(jì)缺陷和流程缺陷。包括但(dàn)不僅限于通過業務接口批量發送任意僞造消息、任意賬号資金消費、批量修改任意帳号密碼漏洞。
(3)敏感信息越權訪問(wèn)。包括但(dàn)不僅限于繞過認證直接訪問(wèn)管理(lǐ)後台、後台弱密碼、獲取大(dà)量内網敏感信息。
(4)越權敏感操作(zuò)。包括但(dàn)不僅限于賬号越權修改重要信息、進行訂單操作(zuò)、重要業務配置修改等較爲重要的越權行爲。
(5)直接獲取客戶端權限的漏洞。包括但(dàn)不限于遠(yuǎn)程任意命令執行、遠(yuǎn)程緩沖區溢出、遠(yuǎn)程内核代碼執行漏洞以及其它因邏輯問(wèn)題導緻的遠(yuǎn)程代碼執行漏洞。
(6)大(dà)範圍影(yǐng)響用戶的其他(tā)漏洞。包括但(dàn)不僅限于可(kě)造成自(zì)動傳播的重要頁面的存儲型XSS和涉及交易、資金、密碼。
[中] 安全币 10~100
本等級包括:
(1)需交互方可(kě)影(yǐng)響用戶的漏洞。包括但(dàn)不僅限于一般頁面的存儲型XSS、重要敏感操作(zuò)的 CSRF。
(2)普通越權操作(zuò)。包括但(dàn)不僅限于不正确的直接對象引用、越權查看(kàn)訂單信息、越權查看(kàn)用戶身(shēn)份信息等。
(3)普通信息洩漏。包括但(dàn)不僅限于客戶端明文存儲密碼、web路(lù)徑遍曆、系統路(lù)徑遍曆。
(4)普通的邏輯設計(jì)缺陷和流程缺陷。
[低] 安全币 2~10
本等級包括:
(1)可(kě)用于釣魚的反射型XSS、URL跳(tiào)轉等漏洞。
(2)輕微信息洩漏漏洞,包括但(dàn)不限于SVN信息洩漏、異常敏感信息洩露,以及客戶端應用本地SQL注入(僅洩漏數據庫名稱、字段名、cache内容)等。
(3)難以利用但(dàn)存在安全隐患的漏洞。包括但(dàn)不僅限于難以利用的SQL注入點、需構造部分(fēn)參數且有一定影(yǐng)響的CSRF。
(4)垂直短(duǎn)信轟炸、郵箱轟炸漏洞。
[無影(yǐng)響] 安全币 0
本等級包括:
(1)無法利用或無危害的漏洞,包括但(dàn)不限于對用戶無實際影(yǐng)響的 CSRF(如(rú)點贊、收藏、關注等)、無法影(yǐng)響他(tā)人(rén)的本地拒絕服務 、Self-XSS、難以利用的信息洩露(内網 IP、域名、程序路(lù)徑、logcat信息)、橫向短(duǎn)信/郵件(jiàn)轟炸等。
(2)利用條件(jiàn)苛刻或無實際危害的漏洞,如(rú)靜(jìng)态文件(jiàn)目錄遍曆/下載、無意義的用戶枚舉、無意義的登錄接口暴力破解等。
(3)我司域名指向第三方的非我司系統存在的相(xiàng)關漏洞。
(4)無關安全的 bug,包括但(dàn)不限于網頁亂碼、網頁無法打開、某功能無法使用等。
(5)内部已知漏洞,如(rú)内部安全人(rén)員(yuán)已經發現的漏洞、已有其他(tā)白(bái)帽子優先提交的漏洞。
六、聯系我們
您有任何建議(yì)或問(wèn)題都(dōu)可(kě)以通過郵箱security@intsig.net聯系我們。
本次更新記錄:
(1)明确核心業務和一般業務産品範圍;
(2)更新[高]、[中]、[低]危漏洞類型定義;
(3)新增[無影(yǐng)響]漏洞類型定義;