公告编号:合合安全应急响应中心漏洞处理流程及评分标准v1.2作者:ISRC*Admin发布日期:2021/08/30
一、ISRC介绍
合合信息安全应急响应中心(Intsig Security Response Center,以下简称ISRC,https://security.intsig.com/),是致力于保障合合信息所有用户、业务和产品的安全,加强与业界同仁合作、交流的平台。
二、基本原则
1.合合信息非常重视自身产品和业务的安全问题,对每一位报告者反馈的问题都有专人进行跟进、分析和处理,并及时给予答复。
2.合合信息支持负责任的漏洞披露和处理过程,对于每位恪守白帽子精神,保护用户利益,帮助合合信息提升安全质量的用户,我们将给予感谢和回馈。
3.合合信息反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞等。
4.合合信息反对和谴责一切利用安全漏洞恐吓用户、攻击竞争对手的行为。
5.合合信息认为每个安全漏洞的处理和整个安全行业的进步,都离不开各方的共同合作。希望 企业、安全公司、安全组织、安全研究者一起加入到“负责任的漏洞披露”过程中来,一起为建设安全健康的互联网而努力。
三、漏洞处理流程
1. 访问 https://security.intsig.com/注册帐号并登陆。
2. 完善个人信息。
3. 在线提交漏洞。
4. 漏洞审核通过后获取安全币及积分。
5. 兑换奖金或礼品,ISRC每月会统计上月10号至本月10号期间兑换的奖励,并将会在当月的20-25号为威胁情报报告者发出礼品(遇节假日顺延)。
四、奖励规则
核心业务:
扫描全能王、名片全能王、启信宝、启信宝企业版、Textin、蜜蜂作业、合合官网
一般业务:
名片全能王企业版、六度推、桔子兼职、AI开放平台、其他产品或信息系统
业务分级/安全币 | 严重漏洞 | 高危漏洞 | 中危漏洞 | 低危漏洞 |
核心业务 | 200-500 | 100-200 | 30-100 | 5-10 |
一般业务 | 150-200 | 50-100 | 10-30 | 2-8 |
注:
1、当前 ISRC 平台 1 安全币大约相当于 10 元人民币。
2、第三方业务系统若对我司产生实际危害的会根据漏洞影响范围和影响程度进行降级处理。
五、漏洞等级说明
[严重] 安全币 150~500
本等级包括:
(1)直接获取权限的漏洞(服务器权限、重要产品客户端权限)。包括但不限于远程任意命令执行、上传webshell、可利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞。
(2)直接导致严重的信息泄漏漏洞。包括但不限于重要DB的SQL注入漏洞。
(3)直接导致严重影响的逻辑漏洞。包括但不限于查看任意用户名片、伪造任意用户登录、账号密码更改漏洞。
[高] 安全币 50~200
本等级包括:
(1)严重的敏感信息泄漏(除撞库行为或者通过暴力提交行为获取的部分信息)。包括但不仅限于普通DB(资金、用户身份、订单) 的 SQL 注入,可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露。
(2)严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。
(3)敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息。
(4)越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单操作、重要业务配置修改等较为重要的越权行为。
(5)直接获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出、远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行漏洞。
(6)大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS和涉及交易、资金、密码。
[中] 安全币 10~100
本等级包括:
(1)需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS、重要敏感操作的 CSRF。
(2)普通越权操作。包括但不仅限于不正确的直接对象引用、越权查看订单信息、越权查看用户身份信息等。
(3)普通信息泄漏。包括但不仅限于客户端明文存储密码、web路径遍历、系统路径遍历。
(4)普通的逻辑设计缺陷和流程缺陷。
[低] 安全币 2~10
本等级包括:
(1)可用于钓鱼的反射型XSS、URL跳转等漏洞。
(2)轻微信息泄漏漏洞,包括但不限于SVN信息泄漏、异常敏感信息泄露,以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)等。
(3)难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、需构造部分参数且有一定影响的CSRF。
(4)垂直短信轰炸、邮箱轰炸漏洞。
[无影响] 安全币 0
本等级包括:
(1)无法利用或无危害的漏洞,包括但不限于对用户无实际影响的 CSRF(如点赞、收藏、关注等)、无法影响他人的本地拒绝服务 、Self-XSS、难以利用的信息泄露(内网 IP、域名、程序路径、logcat信息)、横向短信/邮件轰炸等。
(2)利用条件苛刻或无实际危害的漏洞,如静态文件目录遍历/下载、无意义的用户枚举、无意义的登录接口暴力破解等。
(3)我司域名指向第三方的非我司系统存在的相关漏洞。
(4)无关安全的 bug,包括但不限于网页乱码、网页无法打开、某功能无法使用等。
(5)内部已知漏洞,如内部安全人员已经发现的漏洞、已有其他白帽子优先提交的漏洞。
六、联系我们
您有任何建议或问题都可以通过邮箱security@intsig.net联系我们。
本次更新记录:
(1)明确核心业务和一般业务产品范围;
(2)更新[高]、[中]、[低]危漏洞类型定义;
(3)新增[无影响]漏洞类型定义;
(4)“四、奖励规则”新增第三方系统降级处理注意提醒;