公告编号:合合安全应急响应中心漏洞处理流程及评分标准v1.0作者:ISRC Admin发布日期:2020/01/16
一、ISRC介绍
合合信息安全应急响应中心(Intsig Security Response Center,以下简称ISRC,https://security.ccint.com/),是致力于保障合合信息所有用户、业务和产品的安全,加强与业界同仁合作、交流的平台。
二、基本原则
1.合合信息非常重视自身产品和业务的安全问题,对每一位报告者反馈的问题都有专人进行跟进、分析和处理,并及时给予答复。
2.合合信息支持负责任的漏洞披露和处理过程,对于每位恪守白帽子精神,保护用户利益,帮助合合信息提升安全质量的用户,我们将给予感谢和回馈。
3.合合信息反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客 行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、 恶意传播漏洞等。
4.合合信息反对和谴责一切利用安全漏洞恐吓用户、攻击竞争对手的行为。
5.合合信息认为每个安全漏洞的处理和整个安全行业的进步,都离不开各方的共同合作。希望 企业、安全公司、安全组织、安全研究者一起加入到“负责任的漏洞披露”过程中来,一起为建设安全健康的互联网而努力。
三、漏洞处理流程
1. 访问 https://security.ccint.com/注册帐号并登陆。
2. 完善个人信息。
3. 在线提交漏洞。
4. 漏洞审核通过后获取安全币及积分。
5. 兑换奖金或礼品,ISRC会在每月20-25号为威胁情报报告者发出礼品(遇节假日顺延)。
四、奖励规则
业务分级/安全币 | 严重漏洞 | 高危漏洞 | 中危漏洞 | 低危漏洞 |
核心业务 | 200-500 | 100-200 | 30-100 | 5-10 |
一般业务 | 150-200 | 50-100 | 10-30 | 2-8 |
注:当前 ISRC 平台 1 安全币大约相当于 10 元人民币。
五、漏洞等级说明
[严重] 安全币 150~500
本等级包括:
(1)直接获取权限的漏洞(服务器权限、重要产品客户端权限)。包括但不限于远程任意命令执行、上传webshell、可利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞。
(2)直接导致严重的信息泄漏漏洞。包括但不限于重要DB的SQL注入漏洞。
(3)直接导致严重影响的逻辑漏洞。包括但不限于查看任意用户名片、伪造任意用户登录、账号密码更改漏洞。
[高] 安全币 50~200
本等级包括:
(1)能直接盗取用户身份信息的漏洞。包括重要业务的重点页面的存储型XSS漏洞、普通站点的SQL注入漏洞。
(2)越权访问。包括但不限于敏感管理后台登录。
(3)高风险的信息泄漏漏洞。包括但不限于可直接利用的敏感数据泄漏。
(4)本地任意代码执行。包括但不限于本地可利用的堆栈溢出、本地提权、文件关联的 DLL 劫持以及其它逻辑问题导致的本地代码执行漏洞。
(5)直接获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出、远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行漏洞。
(6)可获取敏感信息或者执行敏感操作的重要客户端产品的XSS漏洞。
[中] 安全币 10~100
本等级包括:
(1)需交互才能获取用户身份信息的漏洞。包括但不限于反射型 XSS(包括反射型 DOM-XSS)、JSON Hijacking、重要敏感操作的CSRF、普通业务的存储型XSS。
(2)远程应用拒绝服务漏洞、敏感信息泄露、内核拒绝服务漏洞、可获取敏感信息或者执行 敏感操作的客户端产品的XSS漏洞。
(3)普通信息泄漏漏洞。包括但不限于客户端明文存储密码、QQ 密码明文传输、包含敏感 信息的源代码压缩包泄漏。
[低] 安全币 2~10
本等级包括:
(1)反射型XSS(包括反射型 DOM-XSS)、普通业务的存储型XSS等。
(2)轻微信息泄漏漏洞。包括但不限于路径泄漏、phpinfo、logcat敏感信息泄漏。
(3)PC客户端及移动客户端本地拒绝服务漏洞。包括但不限于组件权限导致的本地拒绝服务漏洞。
六、联系我们
您有任何建议或问题都可以通过邮箱security@intsig.net联系我们。