DYSRC漏洞奖励标准及评分细则v3.0

发布日期:2017/10/25

公告编号:DYSRC-2017-10

公告来源:斗鱼安全应急响应中心

发布日期:2017-10-25



漏洞处理流程


【漏洞提交】


白帽子注册/登录斗鱼安全应急响应中心提交报告,提交成功后显示状态已提交


【漏洞审核阶段】

斗鱼安全应急响应中心三个工作日之内专员审核(法定节假日顺延)。DYSRC对漏洞报告状态(已提交、审核中、已驳回、已确认、已修复)进行评估:

已提交    :提交者提交报告,状态为已提交

审核中    :专员准备审核时,会将已提交状态更改为审核中

已驳回    :当漏洞审核忽略,会将审核中状态更改为已驳回

已确认    :当漏洞审核通过,会将审核中状态更改为已确认

已修复    :当漏洞修复完成,会将已确认状态更改为已修复


【漏洞处理阶段】

漏洞修复需要一定时间,有新的进展我们会第一时间反馈给提交者。修复后的报告状态变更为“已修复”,并将鱼币和贡献值发放给白帽子。



漏洞危害等级评定标准

鱼币、贡献值计算方法

贡献值由漏洞对应用的危害程度以及基础积分、贡献系数决定:贡献值=积分X奖励系数。贡献值只会累加不会减少,用于奖励颁发。

鱼币由漏洞对应用的危害程度以及基础积分、贡献系数决定:鱼币=积分X奖励系数。鱼币可以增加,兑换礼品会减少,用于礼品兑换。

例如:远程代码执行漏洞的贡献值为500,计算方法为:积分(严重漏洞:50)X奖励系数(严重漏洞:10)。

该漏洞的鱼币为500,计算方法为:积分(严重漏洞:50)X奖励系数(严重漏洞:10)。

现金与鱼币的比例:现金/鱼币=10/1


漏洞奖励对照表
1499667588982118.png


漏洞等级

根据漏洞的危害程度将漏洞等级分为【严重】、【高】、【中】、【低】、【无】五个等级。由DYSRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的贡献值和漏洞定级,每种等级包含的评分标准及漏洞类型如下:


【 严重 】

积分【30~50】,奖励系数【10】,本等级包括:

1)严重的敏感信息泄露,包括但不限于可以获取重要数据的SQL注入漏洞(资金、身份、交易相关)、源代码泄露以及任意文件读取和下载漏洞(如包含重要服务口令),系统权限控制不严格等导致的敏感数据泄露漏洞,公司内部核心数据泄露等;

2)严重的逻辑设计缺陷和流程缺陷。包括但不限于任意账号登陆、任意账号密码密保修改、帐密校验逻辑、核心接口数据验证逻辑、支付逻辑漏洞等,以任意人身份敏感操作等;

3)远程直接获取核心系统权限的漏洞(服务端和客户端),包括但不限于远程任意命令执行、远程代码执行、上传获取WebShell 、缓冲区溢出、SQL注入获取系统权限等;

4)直接获取基础架构系统权限包括但不限于:核心业务操作系统、核心业务数据库、防火墙等;

5)直接导致核心业务拒绝服务的漏洞。包括但不仅限于直接导致线上业务拒绝服务、可导致大量用户崩溃掉线等。(DDoS攻击等资源耗费型的拒绝服务除外)

【 高危 】

积分【15~30】,奖励系数【8】,本等级包括:

1)    敏感信息泄漏。包括但不仅限于非核心DB SQL注入、源代码压缩包泄漏、可获取大量用户交易信息的接口、服务器、应用加密可逆或明文的敏感信息泄露;

2)    越权访问,包括但不限于敏感信息修改、敏感信息读取、进行涉及钱财的操作、重要业务配置修改、获取大量内网敏感信息等;

3)大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS(包括存储型DOM-XSS)、涉及交易、资金、密码的CSRF;

4)涉及资金、订单和用户敏感信息的逻辑设计缺陷和业务流程缺陷;

5)弱口令。重要系统后台的弱口令;

6)SSRF类型漏洞可探测内网等;

7)属于严重级别中所描述的漏洞类型,但是产生在非核心系统中的漏洞;

8)本地代码执行漏洞,包括但不限于内存破坏、类型混淆、整数问题等导致的可利用本地代码执行漏洞

【 中危 】

积分【5~15】,奖励系数【6】,本等级包括:

1)需交互才能获取用户身份信息的漏洞。包括但不限于核心业务的存储型XSS 、反射型XSS、JSON劫持 、重要敏感操作的CSRF、URL跳转漏洞;

2)普通信息泄漏。包括但不仅限于客户端明文存储密码、客户端密码明文传输以及web路径遍历、系统路径遍历。非重要系统的普通代码泄露;

3)普通越权操作,包括但不仅限于不正确的直接对象引用,越权读取、越权篡改数据、越权访问非重要系统后台;

4)普通但有一定影响的逻辑设计缺陷和业务流程缺陷;

5)可导致资源滥用或造成对用户骚扰的漏洞,包括但不限于:短信炸弹、邮件炸弹等;

6)弱口令。普通系统后台的弱口令;


【 低危 】

积分【1~5】,奖励系数【4】,本等级包括:

1)客户端本地拒绝服务漏洞。包括但不仅限于组件权限导致的本地拒绝服务漏洞;

2)远程拒绝服务漏洞,包括但不限于攻击接口、页面、组件导致的拒绝服务等;

3)轻微信息泄露。包括但不限于路径信息泄露、phpinfo、异常信息泄露、无具体代码的svn/git信息泄露、以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息、已脱敏的用户信息泄露等;

4)其他只能造成轻微影响的漏洞。反射型XSS(包括反射型DOM-XSS)、普通CSRF、URL跳转漏洞;

5)无限制短信接口,可存在暴力破解的接口


【 无 】

积分【0】,奖励系数【0】,本等级包括:

1)无关安全的bug,包括但不限产品功能缺陷、页面乱码、样式混乱、无安全影响的本地拒绝服务、应用兼容性;

2)无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏、版本过低、401基础认证钓鱼、无敏感信息的JSON Hijacking、无意义的源码泄露、无敏感信息的logcat浏览器or第三方等无法修复的漏洞所致;

3)无法重现的漏洞、无任何证据的猜测;

4)和公司无关的安全漏洞



评分标准通用原则

1、同一漏洞源、通用型漏洞引发的多个漏洞计漏洞数量为一。

2、一台服务器,一个服务,多个系统(a、b、c、d)。提交a系统的此服务漏洞,bcd系统的此系统漏洞,视为重复。

3、同一漏洞,首位报告者计贡献值和鱼币,其他报告者均不计。

4、在漏洞未修复之前,被公开的漏洞不计分,鱼币不发放。

5、报告网上已公开的漏洞不计贡献值和鱼币。

6、同一份报告中提交多个漏洞,只按危害级别最高的漏洞计贡献值。

7、严格保密已提交的漏洞,如若泄密一经发现撤回所有奖励。

8、以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,将不计贡献值和鱼币,同时斗鱼网络科技有限公司保留采取进一步法律行动的权利。


争议解决办法

在漏洞报告处理过程中,如果报告者对漏洞处理流程、漏洞评定、漏洞评分等有异议的,可微信联系负责人员:Ader_duo。 DYSRC将根据反馈重新商定结果做调整。






返回列表