公告新聞 / 合合安全應急響應中心漏洞處理(lǐ)流程及評分(fēn)标準v1.0

合合安全應急響應中心漏洞處理(lǐ)流程及評分(fēn)标準v1.0

公告編号:合合安全應急響應中心漏洞處理(lǐ)流程及評分(fēn)标準v1.0作(zuò)者:ISRC Admin發布日(rì)期:2020/01/16

一、ISRC介紹

   合合信息安全應急響應中心(Intsig Security Response Center,以下簡稱ISRC,https://security.ccint.com/),是緻力于保障合合信息所有用戶、業務和産品的安全,加強與業界同仁合作(zuò)、交流的平台。


二、基本原則


1.合合信息非常重視自(zì)身(shēn)産品和業務的安全問(wèn)題,對每一位報告者反饋的問(wèn)題都(dōu)有專人(rén)進行跟進、分(fēn)析和處理(lǐ),并及時給予答複。

2.合合信息支持負責任的漏洞披露和處理(lǐ)過程,對于每位恪守白(bái)帽子精神,保護用戶利益,幫助合合信息提升安全質量的用戶,我們将給予感謝和回饋。

3.合合信息反對和譴責一切以漏洞測試爲借口,利用安全漏洞進行破壞、損害用戶利益的黑(hēi)客 行爲,包括但(dàn)不限于利用漏洞盜取用戶隐私及虛拟财産、入侵業務系統、竊取用戶數據、 惡意傳播漏洞等。

4.合合信息反對和譴責一切利用安全漏洞恐吓用戶、攻擊競争對手的行爲。

5.合合信息認爲每個安全漏洞的處理(lǐ)和整個安全行業的進步,都(dōu)離(lí)不開各方的共同合作(zuò)。希望 企業、安全公司、安全組織、安全研究者一起加入到“負責任的漏洞披露”過程中來(lái),一起爲建設安全健康的互聯網而努力。


三、漏洞處理(lǐ)流程


1. 訪問(wèn) https://security.ccint.com/注冊帳号并登陸。

2. 完善個人(rén)信息。

3. 在線提交漏洞。

4. 漏洞審核通過後獲取安全币及積分(fēn)。

5. 兌換獎金或禮品,ISRC會在每月20-25号爲威脅情報報告者發出禮品(遇節假日(rì)順延)。


四、獎勵規則


業務分(fēn)級/安全币
嚴重漏洞
高危漏洞中危漏洞低危漏洞
核心業務200-500100-20030-100
5-10
一般業務150-20050-10010-302-8

注:當前 ISRC 平台 1 安全币大(dà)約相(xiàng)當于 10 元人(rén)民(mín)币。


五、漏洞等級說(shuō)明


[嚴重] 安全币 150~500

本等級包括:
(1)直接獲取權限的漏洞(服務器權限、重要産品客戶端權限)。包括但(dàn)不限于遠(yuǎn)程任意命令執行、上傳webshell、可(kě)利用遠(yuǎn)程内核代碼執行漏洞以及其它因邏輯問(wèn)題導緻的可(kě)利用的遠(yuǎn)程代碼執行漏洞。
(2)直接導緻嚴重的信息洩漏漏洞。包括但(dàn)不限于重要DB的SQL注入漏洞。
(3)直接導緻嚴重影(yǐng)響的邏輯漏洞。包括但(dàn)不限于查看(kàn)任意用戶名片、僞造任意用戶登錄、賬号密碼更改漏洞。


[高] 安全币 50~200

本等級包括:
(1)能直接盜取用戶身(shēn)份信息的漏洞。包括重要業務的重點頁面的存儲型XSS漏洞、普通站(zhàn)點的SQL注入漏洞。
(2)越權訪問(wèn)。包括但(dàn)不限于敏感管理(lǐ)後台登錄。
(3)高風(fēng)險的信息洩漏漏洞。包括但(dàn)不限于可(kě)直接利用的敏感數據洩漏。
(4)本地任意代碼執行。包括但(dàn)不限于本地可(kě)利用的堆棧溢出、本地提權、文件(jiàn)關聯的 DLL 劫持以及其它邏輯問(wèn)題導緻的本地代碼執行漏洞。 
(5)直接獲取客戶端權限的漏洞。包括但(dàn)不限于遠(yuǎn)程任意命令執行、遠(yuǎn)程緩沖區溢出、遠(yuǎn)程内核代碼執行漏洞以及其它因邏輯問(wèn)題導緻的遠(yuǎn)程代碼執行漏洞。 
(6)可(kě)獲取敏感信息或者執行敏感操作(zuò)的重要客戶端産品的XSS漏洞。

 
[中] 安全币 10~100

本等級包括:
(1)需交互才能獲取用戶身(shēn)份信息的漏洞。包括但(dàn)不限于反射型 XSS(包括反射型 DOM-XSS)、JSON Hijacking、重要敏感操作(zuò)的CSRF、普通業務的存儲型XSS。
(2)遠(yuǎn)程應用拒絕服務漏洞、敏感信息洩露、内核拒絕服務漏洞、可(kě)獲取敏感信息或者執行 敏感操作(zuò)的客戶端産品的XSS漏洞。 
(3)普通信息洩漏漏洞。包括但(dàn)不限于客戶端明文存儲密碼、QQ 密碼明文傳輸、包含敏感 信息的源代碼壓縮包洩漏。


[低] 安全币 2~10

本等級包括:
(1)反射型XSS(包括反射型 DOM-XSS)、普通業務的存儲型XSS等。 

(2)輕微信息洩漏漏洞。包括但(dàn)不限于路(lù)徑洩漏、phpinfo、logcat敏感信息洩漏。
(3)PC客戶端及移動客戶端本地拒絕服務漏洞。包括但(dàn)不限于組件(jiàn)權限導緻的本地拒絕服務漏洞。 


六、聯系我們


   您有任何建議(yì)或問(wèn)題都(dōu)可(kě)以通過郵箱security@intsig.net聯系我們。