公告编号:FSRC-2024-04
公告日期:2016-04-29
编写人:焦点安全应急响应中心
版本号:7.4
更新日期:2024-04-30
更新内容:
· 下线百分百物流
· 调整部分文字错误
焦点安全应急响应中心(FSRC)于2016年4月29日上线。我们一直高度重视安全工作,也希望通过FSRC近距离地与各位安全专家共同交流与合作。同时,我们也欢迎广大用户能够通过FSRC向我们反馈焦点旗下的产品和业务的安全情报,帮助我们改进安全工作,提高安全水平。
安全情报包含:自身业务的漏洞、威胁情报。
根据焦点旗下各应用的重要程度分为【核心应用】、【一般应用】、【边缘应用】。
1、核心应用系数10,定义为:主营业务中涉及会员、资金、交易、询盘/报价等内容的应用;
2、一般应用系数4,定义为:主营业务中不涉及会员、资金、交易、询盘/报价等内容的应用,以及普通业务核心数据相关的应用;
3、边缘应用系数1,定义为:普通业务中不包括核心数据的应用,以及由第三方供应商提供的系统
FSRC仅接收以下项目的安全情报,非下图中接收范围,表示项目组暂时不予授权给各位安全专家进行测试。
有些产品有部分限制,具体可在(https://security.focuschina.com/home/announcement/view/id/657.html)查看。
产品 | 官网地址 | 核心应用 | 一般应用 | 边缘应用 |
中国制造网英文版 | www.made-in-china.com | 会员中心(VO)、询盘、RFQ、登录、注册、重要信息展示页、批量邮件系统 | 多语言、数据罗盘、展示厅等 | 其他业务如会员E家、TYP APP、电子烟、地区频道、传感网等 |
新一站保险网 | www.xyz.cn | 会员中心、投保、登录、注册、重要信息展示页 | 理赔业务 | 其他业务如保险学堂、诚信资质等 |
百卓轻云 | www.abiz.com | 客户端中一级页面的功能,包括登录、注册、会员中心、重要信息展示页等 | 与采购、CRM管理无直接关联的其他业务 | |
中国制造网中文版 | cn.made-in-china.com | 会员中心、登录、注册、重要信息展示页、展示厅 | 其他业务 | |
| 领动云平台 | www.leadong.com | 仅接受中危以上的、涉及用户敏感信息的漏洞 | ||
| 焦点科技内部系统 | MIC销售系统中涉及合同等敏感信息的业务 | MIC销售系统中其余业务 | ||
| 焦点科技 | www.focuschina.com | 焦点科技官网 焦点安全应急响应中心 | 语音翻译官APP(只接收不需要交互的、涉及数据的相关高危及以上漏洞) |
1) 我们非常重视自身产品和业务的安全问题。我们将对每一位报告者反馈的问题进行跟进、分析和处理,并及时给予答复;
2) FSRC收取漏洞产品为白名单制,非上表中产品的相关漏洞原则上不接收。如确实可以为焦点安全提供帮助,FSRC可提供贡献值并参与年度排名,但不提供对应奖金;
2) 我们将安全漏洞的危害作为评定漏洞级别和奖励的唯一标准,而不局限于漏洞类型;
3) 我们支持负责任的漏洞披露和处理过程。我们将对每位恪守白帽子精神,帮助焦点提升安全质量的用户,给予感谢和回馈;
4) 我们反对一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞等;
5) 我们反对一切利用安全漏洞恐吓用户、攻击竞争对手的行为。
6) 非焦点可控制的产品,如CMS、供应链软件、第三方平台自身的漏洞,请提交给对应厂商或网络安全威胁和漏洞信息共享平台(NVDB),FSRC之后不再接收。
本流程适用于焦点安全应急响应中心(http://security.focuschina.com/)(简称"FSRC")所收到的所有安全情报。
[ 预报告阶段 ]
安全情报报告者授权焦点安全应急响应中心(https://security.focuschina.com)生成账号。
[ 报告阶段 ]
安全情报报告者登录焦点安全应急响应中心,提交安全情报(状态:已提交)。
[ 处理阶段 ]
1) 一个工作日内,FSRC会跟进评估问题、处理问题、给出结论(状态:已确认/已忽略)。
2) 三个工作日内,FSRC将与业务部门共同计分并发放奖金。必要时会与报告者沟通确认,请报告者予以协助。
[ 修复阶段 ]
1) 业务部门修复安全情报中反馈的安全问题并安排更新上线(状态:待复测)。修复时间根据问题的严重程度及修复难度而定。一般情况下,严重和高危漏洞修复时效为一个工作日内,中危在三个工作日内,低危在十五个工作日内。客户端安全问题受版本发布限制,修复时间根据实际情况确定;
2) FSRC复查安全问题,确认已经修复完成(状态:已复测)。安全情报报告者在检查已复测状态的问题时如果问题仍存在,可再次提交,并再次计分处理。
[ 完成阶段 ]
1) FSRC每月上旬发布上月安全情报处理公告,向上月的安全情报报告者致谢。有效情报数为零则不发布;
2) 安全情报报告者可以使用安全币兑换成礼品。兑换成功后,FSRC将在下个月月初为安全情报报告者发出;
3) 在得到安全情报报告者许可的情况下,FSRC不定期挑选有代表意义的安全情报进行分析,分析文章将发表在FSRC官网。
业务漏洞评分标准
根据漏洞危害程度分为严重、高、中、低、无(忽略)五个等级,其中每个等级评分如下。各等级内各类型漏洞按危害排序,同时评分/奖励也依次降低。
| 漏洞级别 | 定义 | 漏洞类型(不局限于文中所列漏洞) |
|---|---|---|
| 严重 | 直接导致严重敏感信息泄露的漏洞 | 关键DB的SQL注入漏洞 大量(百万级)用户敏感信息泄露(如订单、询盘信息、身份信息等) |
| 直接获取核心应用服务器控制权的漏洞 | 核心应用服务器的远程任意命令执行、上传webshell、可利用的远程内核代码执行 | |
| 直接导致重大经济损失的交易支付漏洞 | 无限制刷取可以直接兑换现金的积分的逻辑漏洞 | |
| 直接导致重大社会影响的漏洞 | 直接篡改核心业务官网主页重要内容 | |
| 高危 | 直接导致大量经济损失的交易相关漏洞 | 订单及支付系统业务重要判定逻辑绕过的逻辑漏洞 涉及交易、资金、密码,且可以批量操作的CSRF |
| 直接导致核心应用拒绝服务的漏洞 | 直接导致线上核心应用的系统/网络设备/服务器无法继续提供服务的漏洞 | |
| 直接批量获取用户身份凭证的漏洞 | 任意帐号密码更改漏洞 所在应用核心业务重要页面的可传播存储XSS(cookie未设置httponly) | |
| 直接批量越权执行敏感操作的漏洞 | 绕过限制添加/修改/删除用户敏感信息(手机号码、邮箱、订单、招募、报价、询盘等) 绕过认证直接访问管理后台,并可修改重要信息或配置 批量越权下载用户敏感信息(如保单信息、询盘邮件) | |
| 直接获取非核心应用服务器或客户端控制权的漏洞 | 远程获取客户端权限的漏洞。包括但不仅限于远程命令执行、任意代码执行 非核心应用服务器远程任意命令执行、获取webshell权限、可利用的远程内核代码执行漏洞 | |
| 直接导致高风险的敏感信息泄漏的漏洞 | 非关键DB SQL注入 服务器应用加密可逆或明文等问题引起的敏感信息泄露 重要系统源代码或密钥或未鉴权的重要API被泄露 利用难度较大但可利用的SQL注入漏洞 核心业务重要页面的可传播存储XSS(cookie已设置httponly) | |
| 直接导致较大社会影响的漏洞 | 可劫持官方身份发送任意内容短信给任意用户 | |
| 中危 | 直接导致用户身份凭证被盗的漏洞 | 可以直接获取用户身份凭证的存储XSS 直接导致用户身份凭证泄露的撞库漏洞(需提供对应信息以便验证) |
| 直接导致非核心应用拒绝服务的漏洞 | 直接导致非核心应用拒绝服务的远程拒绝服务漏洞 | |
| 直接产生明确危害的一般逻辑设计缺陷的漏洞 | 任意文件读取、下载、写入、删除漏洞 无频率限制的短信炸弹 | |
| 获取后台或内网敏感信息的漏洞 | 能直接访问内网且可获取回显的 SSRF 漏洞(焦点科技对SSRF漏洞的测试说明) 绕过认证访问后台获取敏感信息 | |
| 越权执行敏感操作的漏洞 | 直接越权添加/修改/删除特定用户的敏感信息(手机号码、邮箱、订单、招募、报价、询盘等) 直接批量越权添加/修改/删除用户一般信息 操作敏感信息的CSRF漏洞 | |
| 低危 | 执行一般操作的漏洞 | 直接越权绕过限制添加/修改/删除特定用户的一般信息 |
| 需要交互才能获取用户身份凭证的漏洞 | 可获取身份凭证的反射型XSS(包括反射型DOM-XSS) 可获取身份凭证的无提示任意外部URL跳转 | |
| 可直接利用的轻微信息泄露 | 服务端配置文件、备份文件等轻微敏感信息泄漏 服务器版本泄漏、不安全的HTTP方法等信息泄漏(需要证明危害,如可利用的CVE编号) 存在但有限制,难以利用的SQL注入 | |
| 其他有可能产生危害的逻辑设计缺陷 | 难以利用(如有人工审核)的涉及交易、资金、密码等的逻辑漏洞 绕过验证机制暴力破解用户身份凭证(如密码、验证码) | |
| 无危害 | 无关安全的bug | 包括但不限于网页乱码、网页无法打开、某功能无法使用 |
| 无法利用的“漏洞” | 包括但不限于没有实际意义的扫描器漏洞报告(如 Web Server 的低版本)、Self-XSS、无敏感信息的JSON Hijacking 无敏感操作的CSRF(如收藏、添加购物车、非重要业务的订阅、非重要业务的普通个人资料修改等) 内网/管理后台的 IP 地址/域名泄漏但无法进入、example等默认demo未删除、无敏感信息的SVN信息泄漏 程序路径信任问题 无法利用的绝对路径泄漏、SVN文件泄漏、phpinfo、logcat 敏感信息泄漏等 | |
| 没有证据的推测 | 未提供协助验证信息的撞库漏洞 | |
| 直接依赖于用户安全意识的漏洞 | 危害为钓鱼的漏洞(如401基础认证钓鱼、只能钓鱼的url跳转、点击劫持) 不能在浏览器解析执行的文件上传(如上传doc宏病毒等需要用户下载执行的文件) | |
| 与焦点无关的漏洞 | 与焦点无关的漏洞 | |
| 焦点暂不接收的漏洞 | FSRC公告暂时不接受的域名漏洞 |
备注:重要页面,指各功能点的一级页面,如(中国制造网/百卓网的询盘列表页、产品列表页、采购需求页,新一站的用户订单页、保单页等)
FSRC参考行业经验根据业务重要程度,确定了不同业务不同等级安全情报的贡献值和奖励。
系数/贡献值 | 严重 | 高危 | 中危 | 低危 |
核心应用(10) | 90-100 | 60-80 | 30-50 | 10-20 |
一般应用(4) | 36-40 | 24-32 | 12-20 | 4-8 |
边缘应用(1) | 9-10 | 6-8 | 3-5 | 1-2 |
系数/安全币 | 严重 | 高危 | 中危 | 低危 |
核心应用(10) | 3600-4000 | 1200-2400 | 400-800 | 100-200 |
一般应用(4) | 1400-1600 | 500-1000 | 200-300 | 100 |
边缘应用(1) | 300-400 | 100-200 | 100 | / |
边缘应用的低危漏洞,综合考虑实际危害和对应的人力成本,经沟通后,定为发放贡献值,不发放安全币奖励,且不确保可按时修复。
威胁情报评分标准
威胁情报是指与焦点相关的威胁信息,包括但不限于漏洞线索、攻击线索、攻击者相关信息、攻击方式、攻击技术等。根据危害及情报提供情况详细评分标准如下表:
| 威胁等级 | 定义 | 情报举例 | 奖励贡献值 | 奖励安全币 |
| 严重 | 针对核心业务系统的完整入侵证据或线索 | 完整入侵某核心业务服务器的线索,可帮助FSRC对入侵事件溯源分析、定位攻击者身份 核心业务数据库被拖取,且提供了数据库详细信息,方便快速定位确认问题点 | 9-10 | 1800-2000 |
| 对焦点产品生态有重大直接影响的黑灰产情报 | 大规模针对MIC付费会员盗号事件的详细情报 | |||
| 高危 | 针对非核心业务系统的完整入侵证据或线索 | 完整入侵某非核心业务服务器的线索,可帮助FSRC对入侵事件溯源分析、定位攻击者身份 | 6-8 | 600-1200 |
| 用户身份信息大规模被窃取且提供了攻击代码等相关线索 | 因漏洞引起的大规模用户身份被窃取 | |||
| 中危 | 与焦点合作的第三方平台的相关漏洞 | 第三方接口导致焦点用户密码信息泄漏 第三方平台漏洞导致焦点的付费资料被免费下载 | 3-5 | 100-500 |
| 用户身份信息大规模被窃取的信息 | 第三方平台贩卖大量焦点相关用户的个人信息(超过1W条) | |||
| 大型钓鱼站点后台 | 通过欺诈、网络劫持、seo等多种方式吸引了大量流量的钓鱼后台,积累了大量买家数据的(需要证明后台有大量数据,也可以提供相关证明方式详细信息) | |||
| 低危 | 攻击者相关信息 | 攻击者身份信息、电话等 | 1-2 | 20-80 |
| 其他有可能产生危害的安全情报 | 某离职员工泄密非重要信息 | |||
| 忽略 | 虚假的相关情报 | 虚假捏造或人为制造情报信息 | 0 | 0 |
| 无效的相关情报 | 错误、无意义或根据现有信息无法调查利用的威胁 | |||
| 单个钓鱼站点 |
备注:该处威胁情报为对应情报基础评分和奖励。如果情报对焦点旗下业务有较大影响、或可以为焦点业务提供重要帮助的,会基于所涉及的信息内容给予最多5倍奖励
评分标准通用原则
1) 在反馈漏洞时,请提供poc/exploit,并提供相应的漏洞分析,以加快管理员处理速度,未提供poc或exploit,或者没有详细分析的漏洞提交将可能直接影响评分和奖金。提供完整的流程,有助于加快审核速度的漏洞,评分和奖励上会有所提高;
2) 安全情报报告者复查安全问题时,如果发现历史上已经完成处置(状态为:已复测)的安全问题仍然存在,当作新安全情报继续计分;
3) 相同功能处的添加、编辑、删除等操作都出现同类型漏洞(例如平行权限)时,按同一漏洞处理,评分和奖励上会有所提高;
4) 同一条安全情报,第一个报告者得分,其他报告者不得分;提交网上已公开的安全情报不计分。漏洞审核人员可以在不泄露敏感信息的前提下提供漏洞重复证明;
5) 同一处问题产生的多个漏洞,如果修复某一个漏洞后,其余漏洞并不会复现,则只计漏洞数量为一。例如:同一处URL的不同参数涉及的SQL注入漏洞、同一个JS引起的多个安全漏洞、同一个功能模块引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个安全漏洞等;
6) 对于移动终端系统导致的通用型漏洞,比如webkit的uxss、代码执行等等,仅给首个漏洞报告者计分,对于其它产品的同个漏洞报告,均不再另外计分;
7) 对于使用的开源软件/第三方插件,由框架导致的同一种漏洞类型,仅收一个漏洞,且不保证能按照预定时间处理;
8) 各等级漏洞的最终贡献值/安全币由漏洞影响范围及利用难度等综合因素决定,若漏洞触发条件非常苛刻,包括但不限于特定版本浏览器才可触发的漏洞,则可跨等级调整贡献值/安全币;
9) 运营预期之内或无法造成资金损失的问题(如可以注册多个帐号领取小额用户注册奖等,和项目组确认属于正常运营拉新活动),忽略处理;
10) 由于业务调整,不再更新的产品(和项目组确认后续不再有新功能更新,无开发只有维护人员)将忽略处理,原则上也不会修复;
11) 以安全测试为借口,利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的,将不会计分,同时我们保留采取进一步法律行动的权利;
12) 安全情报报告者在获取管理员权限的情况下,须谨慎操作,若操作对业务造成影响,将酌情处理。如造成重大影响,将不会计分,同时我们保留采取进一步法律行动的权利;
13) 焦点集团及焦点所属公司员工不得参与漏洞奖励计划。
奖励发放原则
奖品使用安全币兑换,多个安全情报产生的安全币可累加。除非特别声明,未使用的安全币不会过期。
由于内部财务要求等方面的原因,个别情况下会出现兑换的单张购物卡被拆分为等额多张的情况,请谅解。
申诉机制
在安全情报处理过程中,如果白帽在安全情报定级及处理流程上具有异议的,请通过security@focuschina.com或联系官方QQ进行申诉。必要时FSRC会引入外部专业人士共同裁定。
其他
本文档在处理流程方面充分参考了《腾讯外部威胁情报处理流程》。
如果您对本流程有任何的建议,欢迎通过security@focuschina.com向我们反馈。
修订记录
V1.0 2016-04-05 发布第一版。
V2.0 2016-11-30 发布第二版。
V2.1 2016-12-06 改进2016年排名机制,增加贡献值相同情况排名计算机制。
V2.2 2017-03-08 去除暂定或停止接收漏洞的相关站点信息。
V2.3 2017-04-13 改进漏洞审核流程、规则以及奖励
V2.4 2017-06-01 优化漏洞级别划分规则,突出重点关注漏洞
V2.4 2017-07-14 将排除接收公告的内容合并至业务范围,调整业务范围
V2.5 2018-01-15 取消百分百物流业务范围
V2.6 2018-02-12 优化业务定级标准
V2.7 2018-04-03 统一公告自身对于反射XSS的评定
V2.8 2018-06-26 优化漏洞定级规则
V3.0 2019-03-28 公示FSRC收取安全情报的域名业务范围,增加了处置漏洞的状态说明
V4.0 2019-06-06 细化漏洞定级标准,给出对应漏洞类型,减少漏洞定级引起的疑问;修改部分通用原则
V4.1 2019-12-13 调整接收范围,重新接收jxc.abiz.com域名
V4.2 2020-8-23 调整接受范围,修改部分评分标准通用原则
V5.0 2020-12-31 调整漏洞接收范围,调整部分评分标准通用原则
V5.1 2021-2-2 重新接收健康无忧相关漏洞 优化部分评分标准通用原则说明
V5.2 2021-4-22 调整漏洞接收范围,优化部分评分标准通用原则说明, 加入对SSRF漏洞的接收说明
V5.3 2021-8-9 修改爱聘才接受范围
V5.4 2021-9-3 对通用型漏洞接受范围调整
V5.5 2021-12-3 暂停接收文笔天天网漏洞
V6.1 2022-1-5 暂停接受www.crov.com漏洞,开启接收www.doba.com相关漏洞(核心业务)
V6.2 2022-3-29 调整百卓的漏洞级别,百卓不再作为焦点科技的核心业务
V6.3 2022-6-14 因健康无忧业务调整,临时停止健康无忧相关漏洞接收,具体范围及级别等待另行通知
V6.4 2022-6-16 因领动业务调整,临时停止领动相关漏洞接收,具体范围及级别等待另行通知
V6.5 领动相关业务调整完毕,恢复漏洞接收
V6.6 新一站停止接收新贝易保及旅行箱相关漏洞
V7.0 百卓采购网/焦点商学院业务调整
V7.1 奖励提升,接受范围调整
V7.2 调整百分百物流接受范围
V7.3 新增焦点科技官网
另外,关于月度奖励和年度奖励欢迎大家随时关注焦点安全官方微信公众号:focus_security
同时我们会不定期的举办活动和奖励~
焦点安全应急响应中心
2024年04月30日
