一、基本原则
1、知安非常重视客户的安全问题,我们承诺,对每一位报告者反馈的问题都有专人进行跟进、分析和处理,并及时给予答复。
2、知安在跟进报告者反馈的问题时可能需要报告者的帮助,为了有效的跟进问题可能需要 报告者协助一同复现问题,知安反对和谴责一切遮掩漏洞细节或抗拒协助的报告行为。对于提交高质量报告并在报告、反馈和积极响应跟进等过程中提供有效帮助的报告者,知安也会酌情给予相应的奖励。
3、知安支持负责任的漏洞披露和处理过程,我们承诺,对于每位恪守白帽子精神,保护用户户利益,帮助知安提升客户安全质量的用户,我们将给予感谢和回馈。
4、知安反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、 恶意传播漏洞等。
5、知安反对和谴责一切利用安全漏洞恐吓用户、攻击竞争对手的行为。
6、请报告者严格遵守《白帽自律准则规范》。
二、流程处理
1、报告者授权后向知安平台提交报告,提交后该报告为【待审核】状态;
2、报告者提交报告后,工作人员会进行确认并评估问题,工作人员与报告者沟通后可对报告进行适当的修改;
3、工作人员完成漏洞复现或确认报告有效,会给出结论并计分,此时报告为【已审核】状态;
4、工作人员无法进行漏洞复现或确认报告无效,会进行忽略操作,此时报告为【已忽略】状态,若报告者有异议,可与工作人员联系,并再次提交报告;
5、对于【已审核】的报告,在所属企业修复后(修复时间根据问题的严重程度及修复难度而定),报告者需进行复查,并给出复查结果。
三、漏洞及评级标准
1、漏洞等级:【严重】
漏洞描述:
(1)直接获取系统权限(包括但不限于客户端系统权限、服务器权限)的漏洞。包括但不限于任意代码执行、远程命令执行、Webshell获取、缓冲区溢出以及能够获取系统权限的SQL注入漏洞。
(2)有严重影响的逻辑设计缺陷和流程缺陷。包括但不限于任意恶意消息伪造、任意用户账号密码修改、任意的恶意交易及支付、后台高危操作绕过验证执行。(需最终利用成功)
(3)有严重影响的敏感信息泄露。包括但不限于包含敏感信息的源文件泄露、重要DB的SQL注入、企业核心机密泄露。
2、漏洞等级:【高】
漏洞描述:
(1)敏感信息泄露。包括但不限于非核心DB的SQL注入、站点或软件的源代码泄露、客户资料泄露、日志泄露。
(2)直接导致拒绝服务的漏洞。包括但不限于远程拒绝服务漏洞。
(3)直接获取客户端权限的漏洞。包括但不限于移动端的任意代码执行、PC端的本地或远程代码执行、DLL劫持、堆栈溢出、UAF、本地提权。
(4) 越权的访问或敏感操作。包括但不限于绕过认证直接访问管理后台可操作,后台的非授权访问、管理后台弱密码、获取其他用户敏感信息的越权访问、验证码绕过或敏感操作验证绕过。
(5) 造成较为严重影响的其他漏洞。包括但不限于可造成自动传播的存储型XSS及CSRF。
(6) 任意文件读取。
(7) 可获取任意信息的 XXE 漏洞。
(8) 严重的逻辑设计缺陷和流程缺陷。包括但不仅限于任意用户登录漏洞、批量修改任意账号密码漏洞、涉及企业核心业务的逻辑漏洞等,验证码爆破除外 。
(9) 大范围影响用户的其他漏洞。包括但不仅限于重要页面可自动传播的存储型XSS、可获取管理员认证信息且成功利用的存储型XSS等。
(10) 大量源代码泄露。
3、漏洞等级:【中】
漏洞描述:
(1) 普通信息泄露。包括但不限于不包含敏感信息的SQL注入、客户端明文存储密码、客户端密码明文传输以及web路径遍历、系统路径遍历。
(2) 在交互前提下影响用户的漏洞。包括但不限于一般页面的存储型XSS、 反射型XSS、敏感操作的CSRF、Json hijacking。
(3) 普通越权访问。包括但不限于不影响业务运行的平行权限及不正确的直接对象引用。
(4) 普通的逻辑设计缺陷或流程缺陷。包括但不限于可暴力破解的加密方式、未做访问次数限制的业务相关接口。
(5) 拒绝服务漏洞。包括但不限于导致网站应用拒绝服务等造成影响的远程拒绝服务漏洞等。
(6) 由验证码逻辑导致任意账户登陆、任意密码找回等系统敏感操作可被爆破成功造成的漏洞。
(7) 本地保存的敏感认证密钥信息泄露,需能做出有效利用。
4、漏洞等级:【低】
漏洞描述:
(1) 轻微信息泄露。包括但不限于路径泄露、SVN文件泄露、phpinfo、异常信息泄露。
(2) 可被利用的其他类型漏洞。包括但不限于URL重定向、难以利用的SQL注入、可利用的Self-XSS及有一定影响的CSRF。
(3) 本地拒绝服务漏洞。包括但不限于组件权限导致的本地拒绝服务漏洞。
(4) 无较大影响的用户的反射型XSS(包括DOM XSS / Flash XSS)。
(5) 普通CSRF。
(6) URL跳转漏洞。
(7) 短信炸弹、邮件炸弹(每个系统只收一个此类型漏洞)。
5、暂不收取的漏洞类型
漏洞描述:
(1) 不涉及安全问题的bug,包括但不限于产品功能缺陷、页面乱码、样式混编等。
(2) 无法重现的漏洞、不能直接体现漏洞的其他问题。包括但不限于纯属用户猜测的问题、不包含敏感信息的测试页面等。
(3) 无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。
四、争议解决办法
在威胁情报处理过程中,如果报告者对处理流程、威胁情报评定、威胁情报评分等具有异议
的,请通过页面中的“联系人员”进行及时沟通。知安将根据威胁情报报告者利益优先的原则进行处理,必要时可引入外部人士共同裁定。
成都心中有数科技有限公司
V1.0版本 2020-06-25