公告編号:合合安全應急響應中心漏洞處理(lǐ)流程及評分(fēn)标準v1.4作(zuò)者:ISRC_adm發布日(rì)期:2024/02/26
合合信息安全應急響應中心(Intsig Security Response Center,以下簡稱ISRC,https://security.intsig.com/),是緻力于保障合合信息所有用戶、業務和産品的安全,加強與業界同仁合作(zuò)、交流的平台。
1、合合信息非常重視自(zì)身(shēn)産品和業務的安全問(wèn)題,對每一位報告者反饋的問(wèn)題都(dōu)有專人(rén)進行跟進、分(fēn)析和處理(lǐ),并及時給予答複。
2、合合信息支持負責任的漏洞披露和處理(lǐ)過程,對于每位恪守白(bái)帽子精神,保護用戶利益,幫助合合信息提升安全質量的用戶,我們将給予感謝和回饋。
3、合合信息反對和譴責一切以漏洞測試爲借口,利用安全漏洞進行破壞、損害用戶利益的黑(hēi)客行爲,包括但(dàn)不限于利用漏洞盜取用戶隐私及虛拟财産、入侵業務系統、竊取用戶數據、惡意傳播漏洞等。
4、合合信息反對和譴責一切利用安全漏洞恐吓用戶、攻擊競争對手的行爲。
5、合合信息認爲每個安全漏洞的處理(lǐ)和整個安全行業的進步,都(dōu)離(lí)不開各方的共同合作(zuò)。希望 企業、安全公司、安全組織、安全研究者一起加入到“負責任的漏洞披露”過程中來(lái),一起爲建設安全健康的互聯網而努力。
1、訪問(wèn) https://security.intsig.com/注冊帳号并登陸。
2、完善個人(rén)信息。
3、在線提交漏洞。
4、漏洞審核通過後獲取安全币及積分(fēn)。
5、兌換獎金或禮品,ISRC每月會統計(jì)上月10日(rì)至本月10日(rì)期間兌換的獎勵,并将會在當月的20-25日(rì)爲威脅情報報告者發出禮品(遇節假日(rì)順延)。
核心業務:
掃描全能王、名片全能王、啓信寶、啓信寶企業版、合合官網、TextIn
一般業務:
名片全能王企業解決方案、桔子兼職、其他(tā)産品或信息系統
業務分(fēn)級/安全币 | 嚴重漏洞 | 高危漏洞 | 中危漏洞 | 低危漏洞 |
核心業務 | 300-500 | 150-200 | 30-100 | 5-10 |
一般業務 | 150-200 | 50-100 | 10-30 | 2-8 |
注:
1、當前ISRC平台1安全币大(dà)約相(xiàng)當于10元人(rén)民(mín)币。
2、第三方業務系統若對我司産生(shēng)實際危害的會根據漏洞影(yǐng)響範圍和影(yǐng)響程度進行降級處理(lǐ)。
[嚴重] 安全币 150~500
本等級包括:
(1)直接獲取權限的漏洞(服務器權限、重要産品客戶端權限)。包括但(dàn)不限于遠(yuǎn)程任意命令執行、上傳webshell、可(kě)利用遠(yuǎn)程内核代碼執行漏洞以及其它因邏輯問(wèn)題導緻的可(kě)利用的遠(yuǎn)程代碼執行漏洞。
(2)直接導緻嚴重的信息洩漏漏洞。包括但(dàn)不限于重要DB的SQL注入漏洞。
(3)直接導緻嚴重影(yǐng)響的邏輯漏洞。包括但(dàn)不限于查看(kàn)任意用戶名片、僞造任意用戶登錄、賬号密碼更改漏洞。
[高] 安全币 50~200
本等級包括:
(1)嚴重的敏感信息洩漏(除撞庫行爲或者通過暴力提交行爲獲取的部分(fēn)信息)。包括但(dàn)不僅限于普通DB(資金、用戶身(shēn)份、訂單) 的 SQL 注入,可(kě)獲取大(dà)量核心用戶的身(shēn)份信息、訂單信息、銀行卡信息等接口問(wèn)題引起的敏感信息洩露。
(2)嚴重的邏輯設計(jì)缺陷和流程缺陷。包括但(dàn)不僅限于通過業務接口批量發送任意僞造消息、任意賬号資金消費、批量修改任意帳号密碼漏洞。
(3)敏感信息越權訪問(wèn)。包括但(dàn)不僅限于繞過認證直接訪問(wèn)管理(lǐ)後台、後台弱密碼、獲取大(dà)量内網敏感信息。
(4)越權敏感操作(zuò)。包括但(dàn)不僅限于賬号越權修改重要信息、進行訂單操作(zuò)、重要業務配置修改等較爲重要的越權行爲。
(5)直接獲取客戶端權限的漏洞。包括但(dàn)不限于遠(yuǎn)程任意命令執行、遠(yuǎn)程緩沖區溢出、遠(yuǎn)程内核代碼執行漏洞以及其它因邏輯問(wèn)題導緻的遠(yuǎn)程代碼執行漏洞。
(6)大(dà)範圍影(yǐng)響用戶的其他(tā)漏洞。包括但(dàn)不僅限于可(kě)造成自(zì)動傳播的重要頁面的存儲型XSS和涉及交易、資金、密碼。
[中] 安全币 10~100
本等級包括:
(1)需交互方可(kě)影(yǐng)響用戶的漏洞。包括但(dàn)不僅限于一般頁面的存儲型XSS、重要敏感操作(zuò)的 CSRF。
(2)普通越權操作(zuò)。包括但(dàn)不僅限于不正确的直接對象引用、越權查看(kàn)訂單信息、越權查看(kàn)用戶身(shēn)份信息等。
(3)普通信息洩漏。包括但(dàn)不僅限于客戶端明文存儲密碼、web路(lù)徑遍曆、系統路(lù)徑遍曆。
(4)普通的邏輯設計(jì)缺陷和流程缺陷。
[低] 安全币 2~10
本等級包括:
(1)可(kě)用于釣魚的反射型XSS、URL跳(tiào)轉等漏洞。
(2)輕微信息洩漏漏洞,包括但(dàn)不限于SVN信息洩漏、異常敏感信息洩露,以及客戶端應用本地SQL注入(僅洩漏數據庫名稱、字段名、cache内容)等。
(3)難以利用但(dàn)存在安全隐患的漏洞。包括但(dàn)不僅限于難以利用的SQL注入點、需構造部分(fēn)參數且有一定影(yǐng)響的CSRF。
(4)垂直短(duǎn)信轟炸、郵箱轟炸漏洞。
[無影(yǐng)響] 安全币 0
本等級包括:
(1)無法利用或無危害的漏洞,包括但(dàn)不限于對用戶無實際影(yǐng)響的 CSRF(如(rú)點贊、收藏、關注等)、無法影(yǐng)響他(tā)人(rén)的本地拒絕服務 、Self-XSS、難以利用的信息洩露(内網 IP、域名、程序路(lù)徑、logcat信息)、橫向短(duǎn)信/郵件(jiàn)轟炸等。
(2)利用條件(jiàn)苛刻或無實際危害的漏洞,如(rú)靜(jìng)态文件(jiàn)目錄遍曆/下載、無意義的用戶枚舉、無意義的登錄接口暴力破解等。
(3)我司域名指向第三方的非我司系統存在的相(xiàng)關漏洞。
(4)無關安全的 bug,包括但(dàn)不限于網頁亂碼、網頁無法打開、某功能無法使用等。
(5)内部已知漏洞,如(rú)内部安全人(rén)員(yuán)已經發現的漏洞、已有其他(tā)白(bái)帽子優先提交的漏洞。
合并收取:
(1)當多個漏洞屬于同一漏洞源。比如(rú)同一個接口的多個參數存在XSS或SQL注入漏洞、同一資源ID引起的越權問(wèn)題等,這些将被視爲一個漏洞進行處理(lǐ)。
(2)當漏洞不屬于同一漏洞源,但(dàn)屬于同一系統且利用手段相(xiàng)似,或者漏洞之間存在利用順序的關系,也将按一個漏洞處理(lǐ)。比如(rú)同一站(zhàn)點的多個接口存在SQL注入,同一站(zhàn)點多個接口存在DOS攻擊,或通過弱口令進入系統後發現越權問(wèn)題等情況。
注:在發現此類問(wèn)題時,請(qǐng)将它們整合提交至一個漏洞報告中。我們會根據情況适當增加積分(fēn)或提升漏洞等級。如(rú)果分(fēn)成多個報告提交,我們将對其中一個報告增加積分(fēn)或提升等級,而忽略其他(tā)報告。如(rú)果在合并報告時,原報告已有評分(fēn),我們将在原漏洞評分(fēn)的基礎上進行調整,其他(tā)報告将被忽略。
專項治理(lǐ):
ISRC會不定期對特定類型漏洞進行專項治理(lǐ),專項治理(lǐ)開始前提交的特定類型漏洞報告,正常按危害進行評級收取,在專項治理(lǐ)周期内提交的報告則不再收取。
注:平台審核人(rén)員(yuán)需要在報告評論當中提供脫敏專項治理(lǐ)憑證(至少包含專項治理(lǐ)标題,創建時間)。
第三方組件(jiàn)漏洞:
(1)提交的是基礎組件(jiàn)的已知漏洞(nday),如(rú)果該漏洞在3個月内公開且ISRC已知曉,則該漏洞将被忽略或駁回,不予計(jì)分(fēn)。如(rú)果ISRC未知曉該漏洞,或該漏洞公開時間超過半年(nián)且ISRC未修複,則會根據實際危害進行評估定級。提交時需要提供nday的參考鏈接或CVE編号,并且提供可(kě)利用證明(如(rú)POC能證明信息洩露、獲取機(jī)器權限等)。
(2)如(rú)果提交的是基礎組件(jiàn)的未知漏洞(0day),并且提供了可(kě)利用證明(如(rú)POC能證明信息洩露、獲取機(jī)器權限等),我們将根據實際危害來(lái)評估定級。
您有任何建議(yì)或問(wèn)題都(dōu)可(kě)以通過郵箱security@intsig.net聯系我們。
本次更新記錄:
(1)核心業務定級評分(fēn)調整
(2)新增“補充規則”内容