看云安全应急中心(YSRC)标准漏洞处理及评分标准V1.3

公告编号:作者:yuanfudao发布日期:2024/04/02

修订记录

版本号

修改详情

修改日期

V1.3

更新部分业务

更新部分规则

更新奖金发放规则

2024.04.01

V1.2

更新业务类型划分

更新部分规则

2023.08.11

V1.1

更新高、中、低、无影响漏洞的定义。

更新业务等级等

2022.08.29

V1.0

正式版本

2022.08.08

 

一. 基本原则

 

看云控股集团控股集团非常重视自身安全及产品安全,看云SRC承诺白帽子提交的每一个漏洞都会有专人进行漏洞审核评级,并对漏洞处理进行跟踪,同时会及时同白帽子反馈结果。

看云SRC希望白帽子第一时间发现安全问题后及时进行提交,帮助我们维护看云控股集团产品及业务安全,我们会针对漏洞给予相应的奖励。

看云SRC反对一切以漏洞测试为借口,利用安全漏洞进行破坏、损害看云控股集团业务系统及其用户利益的行为,此类行为包括:入侵业务系统、盗取用户数据、恶意传播漏洞等,如发现此类行为,看云控股集团将追究其法律责任。

请提交报告者严格遵守《SRC 行业安全测试规范》https://security.yuanfudao.com/index.php?m=&c=page&a=view&id=2

 

二. 测试范围

 

测试范围:看云控股集团旗下产品和业务,包括但不限于: *.zhenguanyu.com、*.yuanfudao.com、*.yuantiku.com、*.yuansouti.com、*.xiaoyuankousuan.com、*.banmaaike.com、*.ybccode.com、*.skypeople.com、*.gridcoffee.com、*.moliyuezi.com、*.motiff.com;服务器包括看云控股集团运营的服务器,产品包含看云控股集团发布的PC端、移动端、小程序等。classup相关漏洞不再收取。

 

三.漏洞处理流程

 

1.漏洞提交后1个工作日内,YSRC会进行漏洞评估,此时SRC平台状态为“审核中”。

2.漏洞提交后3个工作日内,YSRC工作人员会针对所提漏洞问题给出结论,给出漏洞评级及猿币数量,如漏洞不成立状态为“已忽略”,并工作人员会给出已忽略理由,如有疑问可与YSRC工作人员进行沟通。

3.提交的漏洞被确认,YSRC工作人员会在每月1号前把猿力币会进行下发,猿力币可用于兑换礼品,此时状态为:“已确认”。

4.修复漏洞,业务部门修复反馈的安全问题,并安排更新上线,修复时间根据问题的严重程度和难度而定,此时状态为“已修复”。

5.关闭漏洞,安全工程师验证业务部门上线的代码,并确认漏洞已修复。此时状态为“已完成”。

 

四.漏洞评分标准及奖励标准

 

针对有效漏洞,我们会根据漏洞重要性及等级给出奖励,奖励的方式将采用猿币的方式进行。

1.漏洞奖励标准

重要业务:严重6000 高危3000 中危1500 低危200

一般业务:严重2000 高危1000 中危500 低危50

边缘业务:严重600 高危300 中危50 低危20

 

2.漏洞危害等级评分标准

【严重】漏洞

1) 直接获取系统权限漏洞包括但不限于:利用命令执行、代码执行、植入Webshell、SQL注入获取系统权限、缓冲区溢出等各类可以远程获取系统权限等;

2) 严重的业务逻辑缺陷和流程缺陷,可导致大量用户经济损失,订单及支付系统业务逻辑绕过,批量修改用户密码,批量任意账号登陆、任意账号资金消费的严重问题;

4) 严重的信息泄漏,可影响大量用户,可导致大量用户敏感信息泄露,公司内部核心数据泄露等;用户敏感信息定义:真实姓名、身份证号、联系方式、住址、照片、银行卡号、完整交易信息等,需三个及以上字段组合才可构成敏感数据,无法定位关联到具体用户则不算。

5) 可直接导致核心系统拒绝服务攻击漏洞,该漏洞直接导致线上核心应用,系统,数据库等无法继续提供服务;

 

【高危】漏洞

1) 较大范围的信息泄漏,包括但不仅限于遍历导致大量敏感数据泄露、非核心DB SQL注入、源代码压缩包泄漏、硬编码密码等问题引起的敏感信息泄露;

2) 越权敏感操作,具有一定的影响面的越权漏洞,包括但不限于越权修改/删除重要信息,重要业务配置修改等重要越权行为;

3) 核心业务且较大范围影响用户的其他漏洞,包括但不限于可获取大量信息的XSS,自动传播的存储型 XSS,可获取管理员认证信息且成功利用的存储型 XSS 等;

4) 直接获取移动客户端权限。包括但不仅限于远程命令执行、任意代码执行

5) 敏感信息越权访问,包括但不仅限于绕过认证直接访问管理后台以修改大量前台敏感信息或利用后台弱密码、SSRF 获取大量内网敏感信息;

 

【中危】漏洞

1) 需用户交互且在主流浏览器中才能产生影响的漏洞,包括但不仅限于针对重要系统的普通存储型 XSS [不包括上传至存储桶的xss]等;

2) 普通越权操作,包括但不仅限于越权访问少量敏感信息等非敏感功能越权漏洞;

3) 普通信息泄露,包括但不限于:客户端明文存储密码、github涉及看云控股集团内部密码泄露等;

4) 普通的逻辑设计缺陷和流程缺陷导致的安全风险,不涉及资金、订单和用户敏感信息的普通逻辑设计缺陷和业务流程缺陷;

5) 对任意指定用户或手机号无限制的短信轰炸。

 

【低危】漏洞

1) 只在特定浏览器或客户端环境下才能执行,且影响较小的漏洞,包括但不限于反射 型 XSS、非关键业务的存储型 XSS 等;

2) 难以利用但又可能存在安全隐患的问题。包括但不限于难以利用的SQL注入,反射性XSS;

3) 无交互的URL跳转;

4) 轻微信息泄漏,包括但不限于含账户密钥的git 信息泄漏或服务端配置信息泄漏,以及客户端应用本地 SQL 注入(仅泄漏数据库名称、字段名、cache 内容)等

5) 有一定影响的CSRF;

6)条件竞争造成的短信轰炸。

 

【无影响】

1) 无关安全的 bug,包括但不限于网页乱码、网页无法打开、某功能无法用;

2) 无法利用的漏洞。包括但不限于不可利用的Self-XSS、无敏感操作的CSRF(如收藏、关注、点赞、非重要业务的普通个人资料修改等)、无意义的源码泄漏、内网IP地址/域名泄漏、401基础认证钓鱼、程序路径信任问题、横向短信轰炸、没有实际意义的扫描器漏洞报告(如Web Server的低版本)等。

3) 不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测、无法重现、未经验证的问题,以及无意义的扫描报告的问题(如:硬编码、无混淆、Activity组件劫持、未加固/脱壳反编译、Janus签名绕过等;

4) 运营预期之内或无法造成资金损失的问题,包括但不限于使用多个账号领取小额奖励/代金券等的正常业务活动;

5) 不能说明危害和利用手法或不可复现且无关紧要的“漏洞”;

6) 内部已知或正在处理的漏洞;

7) 无安全影响的本地拒绝服务、重打包等其它危害过低的移动端漏洞;

8) 与本公司无关的安全漏洞,包括但不限于过期dns解析未删除等;

9) 需爆破6位以上的验证码,如不能短时间复现,会做忽略处理或人力、时间成本与实际危害明显不匹配的漏洞;

10) 与看云控股无关的漏洞:非看云控股研发or运维的第三方供应商漏洞不收取,如第三方提供维护的小程序、API站点、服务器、营销活动、外包系统等;

11) 隐私合规类漏洞暂不收取;

 

【降级处理】

1) 影响范围比较小,比如某些系统只有几十个注册用户、旧系统只有少量数据、一些对业务无实际影响的运维监控数据、测试数据等;

2) 利用条件苛刻(如:特殊账号权限才能发现利用的漏洞等);

3) 部分环节与其他漏洞重复的利用的漏洞;

4)业务预期之类的资损问题、风险可控问题,会降级或忽略处理。

 

【特殊说明】

1) 漏洞合并处理:

同一漏洞源产生的多个漏洞按照一个漏洞收取。如同一个JS引起的多个安全漏洞、 同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域 名解析产生的多个安全漏洞等。如发现此类问题,请统一提交到一个漏洞报告中, 我们将适当升级或增加积分;

对于同一个接口,如果多个参数存在类似的漏洞,按一个漏洞收取,不同类型的, 按危害程度最大的计分;

不属于同一漏洞源,但属于同一系统,利用手段相似的多个漏洞;或具有利用顺序关系的多个漏洞等情况,例如:同一站点多个接口存在 SQL 注入,弱口令进入系统后发现越权等。鼓励将多个问题打包提交,我们将适当升级或增加积分。若 分多个报告提交,将适当升级或增加积分后合并收取。若合并时,原漏洞已有评分,将在原漏洞基础上进行评分修改,新漏洞忽略。打包/合并后积分最高为单个报告积分的三倍。

2) 弱口令相关漏洞收取:以弱口令账户存在的权限为准,按能够产生的实际危害评级;

3) 短信轰炸相关漏洞收取: 30条/单手机号/分钟;横向轰炸不收取;邮箱轰炸不收取;

4) XSS 漏洞收取说明:XSS 仅能执行代码,不能获取到 Cookie 或以用户身份进行操作, 评级不超过[中危];对象存储上传的场景造成的XSS不再收取。

5) 越权漏洞收取说明:组织内的越权漏洞、危害比较有限的越权漏洞,评级不超过[中危];

6) SSRF 漏洞收取说明:能通看云控股集团内部网络的 SSRF,有回显高危,无回显中危;因为各种原因不能访问内网,导致只能 SSRF 本机或同一网络下少量机器,且确实能够造成部分信息泄露的,评级不超过[中危];

 

业务类型划分

重要业务:

    猿辅导、斑马

一般业务:

   小猿口算、猿题库、猿编程、飞象星球、海豚、小猿搜题、Grid Coffee、茉莉月子中心、motiff、斑马百科以及斑马会员体系内容

边缘业务:

   除以上外,猿辅导的其他产品和业务,包括skypeople羽绒服

    第三方供应商提供的系统

   重要业务和一般业务的产品中的非主营业务

 

五.奖励方法原则

 

1.奖励采取猿币(YFDSRC平台给予有效提交漏洞奖励的虚拟货币)商城兑换,除非特别声明,未使用猿币不会过期。

2.现金奖励,每个月1号,YSRC工作人员会补充库存。兑换的现金每季度发放到对应的银行卡中[提前群里通知兑换奖励]。

3.兑换礼品会根据兑换时间两周内寄出。

 

六.争议解决方法

 

在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过以下两种方式YSRC联系工作人员进行及时有效的沟通:

1.漏洞详情留言板功能。

2.邮箱:security@kanyun.com