返回公告列表

我们将定期在这里发布公告

FSRC安全情报定级及积分规则 V1.1

公告编号:FSRC-2016-07

公告日期:2016-06-07


编写人焦点安全应急响应中心

版本号:1.1

更新日期:2016-06-07


业务类别

根据业务发展程度,我司旗下业务分为三大类。各产品所属类别如下:

主营业务,包括但不限于:
中国制造网、百卓采购网、中国制造网内贸站、新一站保险网、焦点教育
   
创业业务,包括但不限于:

文笔天天网、领动、TradeMessenger、常熟服装在线、健康无忧、3d-focus  

 
孵化业务与各类官网,包括但不限于:

百分百物流、爱聘才、商聚园、开锣网、焦点商学院、焦点进出口官网、中企教育官网、麦通官网、焦点科技官网、旅行箱APP及官网


对于未列入上述范围内的产品,我们将按实际情况评估,并会与白帽子及时沟通。

同时,我们会根据业务发展情况,及时调整业务所处类别。


业务漏洞评分标准

根据漏洞危害程度分为高、中、低、无四个等级,每个等级评分如下:

[ 高 ]

分值范围7-10,兑换安全币为1400-2000。

本等级包括:

1直接获取业务服务器权限的漏洞,包括但不限于远程任意命令执行、上传webshell、SQL注入获取系统ROOT权限、可利用远程内核代码执行漏洞其它因逻辑问题导致的可利用的远程代码执行漏洞

2)直接导致严重信息泄漏漏洞,包括但不限于核心DB(身份、资金、交易相关)的SQL注入漏洞,可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露; 

3直接导致严重影响的逻辑漏洞,包括但不限于任意帐号密码更改漏洞、交易支付方面的严重问题、越权且批量获取用户核心业务数据漏洞、批量窃取用户账户控制权的漏洞;  

4)直接导致批量越权敏感操作的漏洞敏感操作包括但不限于绕过限制修改用户重要资料、发送/查看/删除/回复询盘、修改密码、虚拟资金消费;

5)直接导致业务拒绝服务的远程拒绝服务漏洞

[ 中 ]

分值范围4-6,兑换安全币为200-500。

本等级包括:

1)直接导致用户身份信息被盗的漏洞。包括主营业务(MIC英文版MIC中文版新一站百卓、焦点教育)的重点页面的存储型 XSS 漏洞; 

2)直接导致远程获取移动客户端权限的漏洞。包括但不仅限于远程命令执行、任意代码执行

3)直接产生明确直接危害的一般逻辑设计缺陷,包括但不限于无限制短信发送等; 

4)任意文件读取、下载、写入、删除漏洞;

5)绕过认证访问后台、后台弱口令、获取大量内网敏感信息的SSRF

6)敏感信息泄漏。包括但不仅限于非核心DB SQL注入、源代码压缩包泄漏、服务器应用加密可逆或明文等问题引起的敏感信息泄露利用难度较大的SQL注入漏洞等;

7)直接导致越权敏感操作的漏洞。

[ 低 ]

分值范围1-3,兑换安全币为10-100。

本等级包括:

1)需要交互才能获取用户身份信息的漏洞,包括但不限于反射型 XSS(包括反射型 DOM-XSS)、普通业务的存储型 XSS 等;

2)轻微信息泄漏漏洞。包括但不限于绝对路径泄漏、SVN 文件泄漏、phpinfo、logcat 敏感信息泄漏

3)任意外部URL 跳转漏洞

4)非重要的敏感操作 CSRF 以及需借助中间人攻击的远程代码执行漏洞

5)直接导致越权非敏感操作的漏洞。

[ 无 ] 

分值范围 0,兑换安全币为0。

本等级包括:

1) 无关安全的 bug。包括但不限于网页乱码、网页无法打开、某功能无法用;

2) 无 法利用的“漏洞”。包括但不限于没有实际意义的扫描器漏洞报告(如 Web Server 的低版本)、Self-XSS、无敏感信息 的 JSON Hijacking、无敏感操作的 CSRF(如收藏、添加购物车、非主营业务的订阅、非主营业务的普通个人资料修改等)、无意义的源码泄 漏、内网 IP 地址/域名泄漏、401 基础认证钓鱼、程序路径信任问题、无敏感信息的 logcat信息泄漏;

3) 无任何证据的猜测;

4) 非焦点旗下业务漏洞。

 

威胁情报评分标准

威胁情报是指焦点的产品和业务漏洞相关的威胁信息,包括但不限于漏洞线索、攻击线索、攻击者相关信息、攻击方式、攻击技术等。根据危害及情报提供情况详细评分标准如下表:

级别线索范围示例分值范围
服务器被入侵且提供了入侵行为方式等相关线索业务服务器被入侵且提供了相关行为特征方便快速定位确认问题点7-10
主营业务数据库被拖取且提供了数据库名或数据库文件等相关线索业务数据库被拖取,且提供了数据库详细信息,方便快速定位确认问题点
支付类严重的逻辑漏洞
用户身份信息大规模被窃取且提供了攻击代码等相关线索
能够帮助完善防御系统以防御高风险及以上级别危害的新型攻击方式、技术等新型 WebShell、DDoS 等攻击方式4-6
攻击者相关信息攻击者身份信息、电话等1-3


评分标准通用原则

1) 评 分标准仅针对对焦点产品和业务有影响的安全情报。域名包括但不限于*.focuschina.com、*.made-in- china.com、*.xyz.cn、*.focusteach.com、*.abiz.com,服务器包括焦点拥有的服务器,产品为焦点发布的客户端 产品。对焦点业务安全无影响的安全情报,不计分;

2) 主营业务,高危漏洞/情报的奖励上限提高至基准的1.5倍;创业业务:各等级漏洞/情报的奖励上限与基准一致;孵化业务与各类官网:各等级漏洞/情报的奖励调整为基准的0.5倍,除涉及服务器权限的漏洞以外,其他类型漏洞等级最高不超过中危;

3)对于移动终端系统导致的通用型漏洞,比如 webkit 的 uxss、代码执行等等,仅给首个漏洞报告者计分,对于其它产品的同个漏洞报告,均不再另外计分;

4)在反馈客户端漏洞时,请提供 poc/exploit,并提供相应的漏洞分析,以加快管理员处理速度,未提供 poc 或 exploit 或者没有详细分析的漏洞提交将可能直接影响评分;

5) 安全情报报告者复查安全问题时如果发现安全问题仍然存在或未修复好,当作新安全情报继续计分;

6) 同一条安全情报,第一个报告者得分,其他报告者不得分;提交网上已公开的安全情报不计分;

7) 无实际危害证明的扫描器结果,不计分;

8) 以安全测试为借口,利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的,将不会计分,同时我们保留采取进一步法律行动的权利。


最终解释权归焦点安全应急响应中心所有