公告编号:FSRC-2016-03
公告日期:2016-04-29
编写人:焦点安全应急响应中心
版本号:1.0
更新日期:2016-04-07
适用范围
本流程适用于焦点安全应急响应中心(http://security.focuschina.com/)(简称"FSRC")所收到的所有安全情报。
实施日期
本文档自发布之日起实行。
其他
本文档在处理流程方面充分参考了《腾讯外部威胁情报处理流程》。
如果您对本流程有任何的建议,欢迎通过security@focuschina.com向我们反馈。
修订记录
V1.0 2016-04-05 发布第一版。
1) 我们非常重视自身产品和业务的安全问题。我们将对每一位报告者反馈的问题进行跟进、分析和处理,并及时给予答复;
2) 我们支持负责任的漏洞披露和处理过程。我们将对每位恪守白帽子精神,帮助焦点科技提升安全质量的用户,给予感谢和回馈;
3) 我们反对一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞等;
4) 我们反对一切利用安全漏洞恐吓用户、攻击竞争对手的行为。
[ 预报告阶段 ]
安全情报报告者授权焦点安全应急响应中心生成账号,也可不注册,进行匿名提交。
[ 报告阶段 ]
安全情报报告者登录焦点安全应急响应中心,提交安全情报(状态:待确认)。
[ 处理阶段 ]
一个工作日内,FSRC工作人员会跟进评估问题、处理问题、给出结论并计分(状态:修复中/忽略)。必要时会请求报告者予以协助。
[ 修复阶段 ]
1) 业务部门修复安全情报中反馈的安全问题并安排更新上线(状态:已修复)。修复时间根据问题的严重程度及修复难度而定。一般情况下,高风险问题 12 小时内,中风险三个工作日内,低风险七个工作日内。客户端安全问题受版本发布限制,修复时间根据实际情况确定;
2) 安全情报报告者复查安全问题是否修复(状态:已复查/复查异议)。
[ 完成阶段 ]
1) FSRC 每月第一周内,发布上月安全情报处理公告,向上月的安全情报报告者致谢并公布安全情报处理情况;严重或重大影响安全情报会单独发布紧急安全公告。有效情报数为零则不发布;
2) 安全情报报告者可以使用安全币置换现金或礼品,置换完成后,FSRC 为安全情报报告者发出现金或礼品;
3) 在得到安全情报报告者许可的情况下,FSRC 不定期挑选有代表意义的安全情报进行分析,分析文章将发表在 FSRC 官网。
安全情报主要包含:自身业务的漏洞、威胁情报。
根据漏洞危害程度分为高、中、低、无四个等级,每个等级评分如下:
[ 高 ]
分值范围7-10,兑换安全币为1400-3000。
本等级包括:
1)直接获取业务服务器权限的漏洞,包括但不限于远程任意命令执行、上传webshell、SQL注入获取系统ROOT权限、可利用的远程内核代码执行漏洞、其它因逻辑问题导致的可利用的远程代码执行漏洞;
2)直接导致严重信息泄漏的漏洞,包括但不限于核心DB(身份、资金、交易相关)的SQL注入漏洞,可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露;
3)直接导致严重影响的逻辑漏洞,包括但不限于任意帐号密码更改漏洞、交易支付方面的严重问题、越权且批量获取用户核心业务数据漏洞、批量窃取用户账户控制权的漏洞;
4)直接导致批量越权敏感操作的漏洞,敏感操作包括但不限于绕过限制修改用户重要资料、发送/查看/删除/回复询盘、修改密码、虚拟资金消费;
5)直接导致业务拒绝服务的远程拒绝服务漏洞。
[ 中 ]
分值范围4-6,兑换安全币为200-500。
本等级包括:
1)直接导致用户身份信息被盗的漏洞。包括重要业务(MIC英文版、MIC中文版、新一站、百卓、焦点教育)的重点页面的存储型 XSS 漏洞;
2)直接导致远程获取移动客户端权限的漏洞。包括但不仅限于远程命令执行、任意代码执行;
3)直接产生明确直接危害的一般逻辑设计缺陷,包括但不限于无限制短信发送等;
4)任意文件读取、下载、写入、删除漏洞;
5)绕过认证访问后台、后台弱口令、获取大量内网敏感信息的SSRF;
6)敏感信息泄漏。包括但不仅限于非核心DB SQL注入、源代码压缩包泄漏、服务器应用加密可逆或明文等问题引起的敏感信息泄露、利用难度较大的SQL注入漏洞等;
7)直接导致越权敏感操作的漏洞。
[ 低 ]
分值范围1-3,兑换安全币为50-100。
本等级包括:
1)需要交互才能获取用户身份信息的漏洞,包括但不限于反射型 XSS(包括反射型 DOM-XSS)、普通业务的存储型 XSS 等;
2)轻微信息泄漏漏洞。包括但不限于绝对路径泄漏、SVN 文件泄漏、phpinfo、logcat 敏感信息泄漏;
3)任意外部URL 跳转漏洞;
4)非重要的敏感操作 CSRF 以及需借助中间人攻击的远程代码执行漏洞;
5)直接导致越权非敏感操作的漏洞。
[ 无 ]
分值范围 0,兑换安全币为0。
本等级包括:
1) 无关安全的 bug。包括但不限于网页乱码、网页无法打开、某功能无法用;
2) 无 法利用的“漏洞”。包括但不限于没有实际意义的扫描器漏洞报告(如 Web Server 的低版本)、Self-XSS、无敏感信息 的 JSON Hijacking、无敏感操作的 CSRF(如收藏、添加购物车、非重要业务的订阅、非重要业务的普通个人资料修改等)、无意义的源码泄 漏、内网 IP 地址/域名泄漏、401 基础认证钓鱼、程序路径信任问题、无敏感信息的 logcat信息泄漏;
3) 无任何证据的猜测;
4) 与焦点科技无关的漏洞。
威胁情报是指与焦点科技相关的威胁信息,包括但不限于漏洞线索、攻击线索、攻击者相关信息、攻击方式、攻击技术等。根据危害及情报提供情况详细评分标准如下表:
| 级别 | 线索范围 | 示例 | 分值范围 |
| 高 | 服务器被入侵且提供了入侵行为方式等相关线索 | 业务服务器被入侵且提供了相关行为特征方便快速定位确认问题点 | 7-10 |
| 重要业务数据库被拖取且提供了数据库名或数据库文件等相关线索 | 业务数据库被拖取,且提供了数据库详细信息,方便快速定位确认问题点 | ||
| 支付类严重的逻辑漏洞 | |||
| 用户身份信息大规模被窃取且提供了攻击代码等相关线索 | |||
| 中 | 能够帮助完善防御系统以防御高风险及以上级别危害的新型攻击方式、技术等 | 新型 WebShell、DDoS 等攻击方式 | 4-6 |
| 低 | 攻击者相关信息 | 攻击者身份信息、电话等 | 1-3 |
1) 评 分标准仅针对与焦点科技相关的安全情报。域名包括但不限于*.focuschina.com、*.made-in- china.com、*.xyz.cn、*.focusteach.com、*.abiz.com,服务器包括焦点拥有的服务器,产品为焦点发布的客户端 产品。对焦点业务安全无影响的安全情报,不计分;
2) 对于移动终端系统导致的通用型漏洞,比如 webkit 的 uxss、代码执行等等,仅给首个漏洞报告者计分,对于其它产品的同个漏洞报告,均不再另外计分;
3) 在反馈客户端漏洞时,请提供 poc/exploit,并提供相应的漏洞分析,以加快管理员处理速度,未提供 poc 或 exploit 或者没有详细分析的漏洞提交将可能直接影响评分;
4) 安全情报报告者复查安全问题时如果发现安全问题仍然存在或未修复好,当作新安全情报继续计分;
5) 同一条安全情报,第一个报告者得分,其他报告者不得分;提交网上已公开的安全情报不计分;
6) 无实际危害证明的扫描器结果,不计分;
7) 以安全测试为借口,利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的,将不会计分,同时我们保留采取进一步法律行动的权利。
奖品使用安全币兑换,多个安全情报产生的安全币可累加。除非特别声明,未使用的安全币不会过期。奖品上架时有数量限制,当期上架奖品被兑换完后不再接受兑换。
在安全情报处理过程中,如果报告者对处理流程、安全情报评定、安全情报评分等具有异议的,请通过security@focuschina.com进行申诉。必要时会引入外部人士共同裁定。
最终解释权归焦点安全应急响应中心所有
