17SRC漏洞处理及评分标准

公告编号:3作者:Vanguard发布日期:2021/07/25

一、漏洞收集原则:

1.17SRC收集范围

  • 安全漏洞:《17SRC安全测试规范》中说明的测试范围内包含的网站、APP、公众号及小程序存在的安全漏洞。

  • 安全情报:真实有效的威胁情报,包括但不限于攻击入侵线索、业务敏感数据泄露线索、严重的业务逻辑漏洞被利用线索等。


2.漏洞评级

每个漏洞RANK值由17SRC根据漏洞利用难易程度、危害大小综合考虑分为5个等级:无影响0分、低1~5分、中5~10分、高10~15分、严重15~20分。详细评分标准参考下文漏洞风险等级。


3.漏洞报告提交

漏洞提交报告应尽量详细、规范。提供清晰、明确且能帮助17SRC快速跟进的高质量漏洞报告可以酌情加分。如漏洞详情、漏洞原理、利用方式、poc\exp以及修复建议等。


4.重复漏洞的处理机制

  • 相同问题的漏洞,将按提交时间给予首个提交者积分。

  • 同一漏洞在其它安全众测平台上提交过的,非在17SRC首次提交的,不予审核通过。严禁白帽子在多平台提交相同漏洞来刷奖励。

  • 提交网上已经公开的漏洞不计分。


5.测试规范

漏洞证明其存在并可利用,禁止利用漏洞进行非法操作,包括但不限于:拖库、内网移动等。详细的测试规范请阅读《17SRC安全测试规范》。


6.客户端

由于客户端的特殊性,客户端漏洞以当前时间最新客户端为准(同一漏洞不可在不同版间重复提交)。


7.奖励机制

奖励机制只支持一起教育相关业务,合作方、供应商等第三方公司系统不在此奖励范围内。



二、漏洞风险等级:

根据漏洞的利用难易程度、危害大小综合考虑决定共分为4个级别:严重、高、中、低、无影响,每个等级评分与范围定义如下:


【严重】RANK:15-20

严重的信息泄漏漏洞:包括但不限于可获取重要数据的 SQL 注入漏洞、任意文件读取和下载、日志

文件下载、API越权等严重影响用户身份信息安全的漏洞。

严重的逻辑漏洞:包括但不限于涉及账户、支付交易方面的安全问题,如任意账号登录、任意账号密码修改、

任意账号资金消费、篡改支付金额等。

重大的威胁情报:包括但不限于业务数据库被拖取且提供了数据库详细信息、严重的业务逻辑漏洞被外部大量利用的线索等。


【高】RANK:10-15

获取操作系统权限的漏洞:包括但不限于任意代码执行、任意命令执行、上传可执行的webshell。 

影响范围较广的越权访问漏洞:包括但不仅限于绕过认证直接访问管理后台可操作、应用非授权访问、应用后

台弱密码、访问其他用户敏感信息(包括用户资料信息和订单信息)、任意文件包含、任意文件读取、可直接

获取大量内网敏感信息的 SSRF等。

直接导致系统业务拒绝服务的漏洞:包括但不限于直接导致业务重要接口拒绝服务漏洞。


【中】RANK:5-10

普通信息泄露:包括但不限于客户端明文存储密码、个别用户订单或身份信息泄露、包含服务器或数据库敏感信息的源代码压缩包下载、内部数据泄露、GitHub泄露账号密码等。

弱验证机制引发的漏洞:包括但不限于可暴力破解的加密方式、未做访问次数限制的业务相关接口(如:短信接口),帐户相关暴力破解且成功获取帐户信息等。

需交互才能获取用户身份信息的漏洞:包括但不限于敏感操作的CSRF,json hijacking、可造成严重危害的存储型XSS。


【低】RANK:1-5

涵盖范围:

轻微信息泄露:包括但不限于路径信息泄漏、.git信息泄漏、phpinfo、logcat、异常信息泄露,以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息、异常信息等。

拒绝服务漏洞:包括但不仅限于客户端本地拒绝服务、由Android组件权限暴露、普通应用权限引起的问题。

难以利用但存在安全隐患的漏洞:包括但不仅限于难以利用的SQL注入点、可能引起传播的self-xss、不能引起较大危害的存储型XSS(包括仅自己可见的存储型XSS)、反射型XSS(包括反射型DOM-XSS,Flash型XSS)等。

其他只能造成轻微影响的漏洞:包括但不仅限于URL 跳转、系统/服务运维配置不当、组件权限漏洞等。 


【无影响】RANK:0

不涉及安全问题的BUG:包括但不限于产品功能缺陷、页面乱码、样式问题、静态文件目录遍历、应用兼容性等问题

无法利用的漏洞:包括但不限于难以利用的self-xss、非敏感操作的CSRF、无敏感信息的json hijacking等。

无敏感信息的信息泄露:包括但不限于无意义的源码泄漏、无意义的内网 IP 地址/域名/账号密码泄漏、路径信息泄露、无敏感信息的logcat信息泄漏等。

不能重现的漏洞:包括但不仅限于纯属用户猜测、未经过验证的问题、无实际危害证明的扫描器结果。


三、17SRC业务分级系数:

业务分级由17SRC根据不同业务系统重要程度进行分级,不同重要等级的业务系统积分奖励系数会有不同。

一级(核心)系统*150

二级(重要)系统*60

三级(次要)系统*30

四级(边缘)系统*10


四、奖励计划:

奖励计划采取积分兑换形式实行,白帽子通过提交漏洞来获得奖励积分,积分由漏洞对应用的危害程度以及业务分级系数决定,奖励积分公式:

奖励积分=RANK 值*业务分级系数*倍数奖励(默认为1)

举例:白帽子提交的一个一起教育的getshell漏洞,17SRC根据漏洞风险等级及17SRC业务分级系数评判,业务分级系数为一级150, 漏洞为高危RANK值为15,并且当前在活动期,倍数奖励为2,则奖励白帽子该漏洞的积分为:

15*150*2=4500积分=4500积分(金币)=4500RMB

这只是一个基础分,如果白帽子提交漏洞危害较大,且漏洞详情、漏洞原理、利用方式以及修复建议写的详细,对我们有很大帮助,17SRC会通过提高RANK值或奖励倍数给白帽子额外奖励。

倍数奖励:

⑴活动期倍数会增加;

⑵白帽子提交的漏洞价值超出RANK值范围,倍数会增加。

白帽子可用获得的金币在积分商场里兑换礼品,每个白帽子账户中的积分可以累积,但仅供个人使用。

 

漏洞等级

漏洞RANK值

核心系统*150

重要系统*60

次要系统*30

边缘系统*10

严重

15-20

2250-3000

900-1200

450-600

150-200

10-15

1500-2250

600-900

300-450

100-150

5-10

750-1500

300-600

150-300

50-100

1-5

150-750

60-300

30-150

10-50

无影响

0

0

0

0

0

《举例:非活动期间,奖励倍数为1时的奖励分布》

 

五、漏洞争议解决办法:

白帽子在漏洞提交及处理过程中,如果对流程处理、漏洞定级、漏洞评分等有异议的,可以通过发送邮件至security@17zuoye.com进行沟通。17SRC将按照漏洞报告者利益优先的原则处理,必要时可引入外部安全人士共同裁定。