公告编号:合合安全应急响应中心漏洞处理流程及评分标准v1.4作者:ISRC_adm发布日期:2024/02/26
合合信息安全应急响应中心(Intsig Security Response Center,以下简称ISRC,https://security.intsig.com/),是致力于保障合合信息所有用户、业务和产品的安全,加强与业界同仁合作、交流的平台。
1、合合信息非常重视自身产品和业务的安全问题,对每一位报告者反馈的问题都有专人进行跟进、分析和处理,并及时给予答复。
2、合合信息支持负责任的漏洞披露和处理过程,对于每位恪守白帽子精神,保护用户利益,帮助合合信息提升安全质量的用户,我们将给予感谢和回馈。
3、合合信息反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞等。
4、合合信息反对和谴责一切利用安全漏洞恐吓用户、攻击竞争对手的行为。
5、合合信息认为每个安全漏洞的处理和整个安全行业的进步,都离不开各方的共同合作。希望 企业、安全公司、安全组织、安全研究者一起加入到“负责任的漏洞披露”过程中来,一起为建设安全健康的互联网而努力。
1、访问 https://security.intsig.com/注册帐号并登陆。
2、完善个人信息。
3、在线提交漏洞。
4、漏洞审核通过后获取安全币及积分。
5、兑换奖金或礼品,ISRC每月会统计上月10日至本月10日期间兑换的奖励,并将会在当月的20-25日为威胁情报报告者发出礼品(遇节假日顺延)。
核心业务:
扫描全能王、名片全能王、启信宝、启信宝企业版、合合官网、TextIn
一般业务:
名片全能王企业解决方案、桔子兼职、其他产品或信息系统
业务分级/安全币 | 严重漏洞 | 高危漏洞 | 中危漏洞 | 低危漏洞 |
核心业务 | 300-500 | 150-200 | 30-100 | 5-10 |
一般业务 | 150-200 | 50-100 | 10-30 | 2-8 |
注:
1、当前ISRC平台1安全币大约相当于10元人民币。
2、第三方业务系统若对我司产生实际危害的会根据漏洞影响范围和影响程度进行降级处理。
[严重] 安全币 150~500
本等级包括:
(1)直接获取权限的漏洞(服务器权限、重要产品客户端权限)。包括但不限于远程任意命令执行、上传webshell、可利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞。
(2)直接导致严重的信息泄漏漏洞。包括但不限于重要DB的SQL注入漏洞。
(3)直接导致严重影响的逻辑漏洞。包括但不限于查看任意用户名片、伪造任意用户登录、账号密码更改漏洞。
[高] 安全币 50~200
本等级包括:
(1)严重的敏感信息泄漏(除撞库行为或者通过暴力提交行为获取的部分信息)。包括但不仅限于普通DB(资金、用户身份、订单) 的 SQL 注入,可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露。
(2)严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。
(3)敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息。
(4)越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单操作、重要业务配置修改等较为重要的越权行为。
(5)直接获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出、远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行漏洞。
(6)大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS和涉及交易、资金、密码。
[中] 安全币 10~100
本等级包括:
(1)需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS、重要敏感操作的 CSRF。
(2)普通越权操作。包括但不仅限于不正确的直接对象引用、越权查看订单信息、越权查看用户身份信息等。
(3)普通信息泄漏。包括但不仅限于客户端明文存储密码、web路径遍历、系统路径遍历。
(4)普通的逻辑设计缺陷和流程缺陷。
[低] 安全币 2~10
本等级包括:
(1)可用于钓鱼的反射型XSS、URL跳转等漏洞。
(2)轻微信息泄漏漏洞,包括但不限于SVN信息泄漏、异常敏感信息泄露,以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)等。
(3)难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、需构造部分参数且有一定影响的CSRF。
(4)垂直短信轰炸、邮箱轰炸漏洞。
[无影响] 安全币 0
本等级包括:
(1)无法利用或无危害的漏洞,包括但不限于对用户无实际影响的 CSRF(如点赞、收藏、关注等)、无法影响他人的本地拒绝服务 、Self-XSS、难以利用的信息泄露(内网 IP、域名、程序路径、logcat信息)、横向短信/邮件轰炸等。
(2)利用条件苛刻或无实际危害的漏洞,如静态文件目录遍历/下载、无意义的用户枚举、无意义的登录接口暴力破解等。
(3)我司域名指向第三方的非我司系统存在的相关漏洞。
(4)无关安全的 bug,包括但不限于网页乱码、网页无法打开、某功能无法使用等。
(5)内部已知漏洞,如内部安全人员已经发现的漏洞、已有其他白帽子优先提交的漏洞。
合并收取:
(1)当多个漏洞属于同一漏洞源。比如同一个接口的多个参数存在XSS或SQL注入漏洞、同一资源ID引起的越权问题等,这些将被视为一个漏洞进行处理。
(2)当漏洞不属于同一漏洞源,但属于同一系统且利用手段相似,或者漏洞之间存在利用顺序的关系,也将按一个漏洞处理。比如同一站点的多个接口存在SQL注入,同一站点多个接口存在DOS攻击,或通过弱口令进入系统后发现越权问题等情况。
注:在发现此类问题时,请将它们整合提交至一个漏洞报告中。我们会根据情况适当增加积分或提升漏洞等级。如果分成多个报告提交,我们将对其中一个报告增加积分或提升等级,而忽略其他报告。如果在合并报告时,原报告已有评分,我们将在原漏洞评分的基础上进行调整,其他报告将被忽略。
专项治理:
ISRC会不定期对特定类型漏洞进行专项治理,专项治理开始前提交的特定类型漏洞报告,正常按危害进行评级收取,在专项治理周期内提交的报告则不再收取。
注:平台审核人员需要在报告评论当中提供脱敏专项治理凭证(至少包含专项治理标题,创建时间)。
第三方组件漏洞:
(1)提交的是基础组件的已知漏洞(nday),如果该漏洞在3个月内公开且ISRC已知晓,则该漏洞将被忽略或驳回,不予计分。如果ISRC未知晓该漏洞,或该漏洞公开时间超过半年且ISRC未修复,则会根据实际危害进行评估定级。提交时需要提供nday的参考链接或CVE编号,并且提供可利用证明(如POC能证明信息泄露、获取机器权限等)。
(2)如果提交的是基础组件的未知漏洞(0day),并且提供了可利用证明(如POC能证明信息泄露、获取机器权限等),我们将根据实际危害来评估定级。
您有任何建议或问题都可以通过邮箱security@intsig.net联系我们。
本次更新记录:
(1)核心业务定级评分调整
(2)新增“补充规则”内容