贝贝SRC威胁报告评分标准V1.0

公告编号:作者:beibeisrc发布日期:2020/08/04

一、安全威胁评分说明  

BBSRC 威胁报告主要包含web/客户端漏洞、威胁情报、通用组件和插件漏洞四个报告内容,下面会对每个部分的规则做评分说明。 

根据威胁对业务的安全风险,威胁分为严重、高危、中危、低危、无影响(忽略)五个等级。 

贝贝相关业务,根据业务重要程度分为:核心业务、一般业务、边缘业务(参考三业务范围) 

最终威胁报告贡献值 = 威胁基础贡献值 * 威胁所涉及业务的等级系数 ,1积分贡献值 = 1安全币 = 10人民币(价值)。

所有威胁报告将结合漏洞实际利用危害及业务重要程度进行评估最终报告得贡献值。 

威胁基础贡献值和威胁等级系数范围参见表2-1。 

                                表2-1

 严重高危中危低危
基础贡献值范围9-106-83-51-2
核心业务系数50301010
一般业务系数201055
边缘业务系数10500

 

威胁报告贡献值范围参见表2-2。 

                               表2-2

 严重高危中危低危
核心业务贡献值450-500180-24030-5010-20
一般业务贡献值180-20060-8015-255-10
边缘业务贡献值90-10030-4000


二、Web/客户端漏洞报告评审标准

严重漏洞: 

1)     直接获取核心系统权限(服务器端权限、客户端权限)的漏洞。包括但不限于:命令注入、远程命令执行、上传获取 WebShell、SQL 注入获取核心系统权限、缓冲区溢出(包括可利用的 ActiveX 缓冲区溢出);

2)     直接导致核心业务拒绝服务的漏洞。包括通过该远程拒绝服务漏洞直接导致线上核心应用、系统、服务器无法继续提供服务的漏洞;

3)     核心业务的严重逻辑设计缺陷和流程缺陷。包括但不限于任意账号登录和密码修改、任意账号资金消费、特大量订单详细泄露、核心支付系统支付交易流程的漏洞;

4)     严重级别的敏感信息泄露。包括但不限于核心 DB 的 SQL 注入漏洞、包含公司、用户敏感数据的接口引发的信息泄露。 

高危漏洞 

1)    直接获取一般系统权限(服务器端权限、客户端权限)的漏洞。包括但不限于:命令注入、远程命令执行、上传获取 WebShell、SQL 注入获取系统权限、缓冲区溢出(包括可利用的 ActiveX 缓冲区溢出);

2)    核心系统越权访问操作。包括但不限于绕过认证直接访问管理后台可操作、核心业务非授权访问、 核心业务后台弱密码,增删查改任意用户敏感信息或状态等核心交互的越权行为;

3)    敏感信息泄漏漏洞。包括但不限于源代码压缩包泄漏、越权或者直接获取大量用户、员工信息,或者可获取大量用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露;

4)    可远程获取客户端权限的漏洞。包括但不限于远程任意命令执行、可进内网获取数据的SSRF、远程缓冲区溢出及其它逻辑问题导致的客户端漏洞。核心系统重要页面的存储型 XSS(包括存储型DOM-XSS)以及可获取核心cookie等敏感信息且具有传播性的各种 XSS。 

中危漏洞 

1)    普通信息泄露。包括但不限于未涉及敏感数据的 SQL 注入、影响数据量有限或者敏感程度有限的越权、源代码或系统日志等信息泄露;

2)    需受害者交互或其他前置条件才能获取用户身份信息的漏洞。包括但不限于包含用户、网站敏感数据的JSON Hijacking、重要业务操作(如支付类操作、发布信息或修改个人账号敏感信息类操作)的 CSRF、一般业务存储型 XSS;

3)    普通的逻辑缺陷和越权。包括但不限于一般业务系统的越权行为和设计缺陷;

4)    可攻击管理后台的XSS类攻击(需提供前台攻击位置,定位风险);

5)    不涉及贝贝账号系统的暴力破解漏洞或涉及贝贝账户系统的可撞库接口 。

低危漏洞 

1)    轻微信息泄露,包括但不限于路径、SVN 信息泄露、PHPinfo、异常和含有少量敏感字段的调试信息,本地 SQL 注入、日志打印及配置等泄露情况;

2)    只在特定情况之下才能获取用户信息的漏洞,包括但不限于反射XSS(包括 DOM 型)、边缘业务的存储 XSS; 

3)    利用场景有限的漏洞,包括但不限于短信、邮箱轰炸,横向短信、邮箱轰炸,URL跳转,非贝贝账户系统的可撞库接口等;

4)    利用有难度但存在安全隐患的漏洞,包括但不限于可引起传播的 Self-XSS,登录接口缺陷,敏感操作但利用条件苛刻的 CSRF。 

无危害(忽略)

1)    无法利用/无实际危害的漏洞。包括但不限于 不可利用的Self-XSS、非重要交互(如查询类操作)的 CSRF、静态文件目录遍历、401 认证钓鱼、内网 IP/域名、无敏感信息(如用户昵称、用户个人公开的信息、已脱敏的敏感信息等)的 JSON Hijacking 等; 

2)     不能重现的漏洞。包括但不限于经 BBSRC 审核者多次确认无法重现的漏洞; 

3)     内部已知、正在处理的漏洞,包括但不限于如 Discuz!等已在其他平台公开通用的,白帽子、内部已发现的漏洞; 

4)     内部存在审核机制的提交接口所涉及的CSRF、越权提交等漏洞; 

5)     非接收范围内的漏洞,如非贝贝业务的安全漏洞; 

6)     实际业务安全性无影响的 Bug。包括但不限于产品功能缺陷、页面乱码、样式混乱; 

7)     不接收无实际意义的扫描器结果报告; 

8)     无证据支持的情况,包括但不限于账号被盗即表示有漏洞。

9)    暂不收取贝贝SRC本身系统漏洞。

三、业务范围及重要程度判断标准

1:涉及贝贝支付系统、贝贝账户系统、贝贝用户敏感信息、订单详细信息的相关平台或网站,可被视为贝贝【核心业务】。(涉及贝贝运营数据、物流统计信息数据及商家业务数据的网站属于【一般业务】,涉及合作商家网站、商家营销后台,及非支付功能的网站/平台为【边缘业务】) ;

2:其它第三方ERP(如聚水潭等)只收取高危及以上漏洞或影响贝贝数据的漏洞,且对评分上可能根据对贝贝的影响做降分处理;

3.业务域名范围:*.beibei.com;*.beidian.com;*.beicang.com;*.beidai.com;*.beisheng.com;*.beicdn.com;*.beibei.com.cn;

4.业务APP服务:贝贝;贝店;贝仓;贝贷;贝省等。

四、威胁反馈与处理流程

undefined

 

 

五、通用原则

1.    威胁报告禁止保存在互联网开放的云服务中(包括但不限于云盘、云笔记等),因漏洞报告内容保存于云服务导致的漏洞泄露风险一经确认,当前报告不计分; 

2.    威胁报告提交后在未修复前,主动公开的报告不计分; 

3.    同一威胁报告(包括情报、通用组件和插件)最早提交者得贡献值,提交网上已公开的报告不计分;

4.    当多份威胁报告(安全漏洞、情报、通用组件和插件)有相似之处,BBSRC 工作人员分析发现是由于同一处问题导致时,该情况只有最早提交者得贡献值; 

5.    同一漏洞导致的多个利用点按照级别最高的奖励执行;(如:同个 JS 引起的多个 XSS 漏洞、同一个发布系统引起的多个页面的 XSS 漏洞、通用框架导致的整站问题等); 

6.    各等级漏洞的最终贡献值由漏洞利用难度及影响范围等综合因素决定,若触发条件非常苛刻(如:特定浏览器才可触发的XSS 漏洞),经审核可能跨等级调整贡献值; 

7.  报告者在进行渗透测试时,如在线上对业务做增删改操作时,请勿直接对正常用户数据做操作,数据添加请在标题或明显字段增加【我是测试】字样,以便于 BBSRC 和业务方识别数据真实性; 

8. 以漏洞测试为借口,利用漏洞进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为在溯源发现后将不会计分,同时贝贝保留采取进一步法律行动的权利; 

9. 贝贝集团所属公司员工不得参与漏洞奖励计划; 

10. 请通过正常渠道与工作人员交流反馈问题,对于一些没有证据或使用非正当手段进行诬陷、诽谤等行为,工作人员将适用法律手段维护权益。 

六、争议解决办法 

在威胁处理过程中,如果报告者对处理流程、威胁评定、威胁评分等有异议的,请通过联系 BBSRC 工作人员交流反馈,BBSRC 将根据威胁报告者利益优先的原则进行处理,必要时引入外部人士共同裁定。