公告编号:FSRC-2016-21
公告日期:2016-12-08
编写人:焦点安全应急响应中心
版本号:2.1
更新日期:2016-12-06
适用范围
本流程适用于焦点安全应急响应中心(http://security.focuschina.com/)(简称"FSRC")所收到的所有安全情报。
实施日期
2017年1月1日之前,英雄榜及年度奖励排名以安全币为准。2017年1月1日起,以贡献值为准。
2017年1月1日起,月度奖励机制正式实施。
本文档其余部分自2016年12月1日起实行。
其他
本文档在处理流程方面充分参考了《腾讯外部威胁情报处理流程》。
如果您对本流程有任何的建议,欢迎通过security@focuschina.com向我们反馈。
修订记录
V1.0 2016-04-05 发布第一版。
V2.0 2016-11-30 发布第二版。
V2.1 2016-12-06 改进2016年排名机制,增加贡献值相同情况排名计算机制。
1) 我们非常重视自身产品和业务的安全问题。我们将对每一位报告者反馈的问题进行跟进、分析和处理,并及时给予答复;
2) 我们支持负责任的漏洞披露和处理过程。我们将对每位恪守白帽子精神,帮助焦点科技提升安全质量的用户,给予感谢和回馈;
3) 我们反对一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞等;
4) 我们反对一切利用安全漏洞恐吓用户、攻击竞争对手的行为。
[ 预报告阶段 ]
安全情报报告者授权焦点安全应急响应中心生成账号。
[ 报告阶段 ]
安全情报报告者登录焦点安全应急响应中心,提交安全情报(状态:已提交)。
[ 处理阶段 ]
一个工作日内,FSRC工作人员会跟进评估问题、处理问题、给出结论并计分(状态:已确认/已忽略)。必要时会请求报告者予以协助。
[ 修复阶段 ]
1) 业务部门修复安全情报中反馈的安全问题并安排更新上线(状态:已修复)。修复时间根据问题的严重程度及修复难度而定。一般情况下,严重和高危漏洞修复时效为十二个小时内,中危在三个工作日内,低危在十五个工作日内。客户端安全问题受版本发布限制,修复时间根据实际情况确定;
2) FSRC 与安全情报报告者共同复查安全问题是否修复(状态:已复测)。
3)修复完成后,FSRC 将与内部相关项目组共同确定并发放奖金。报告者如有异议,请通过邮件或官方QQ与我们联系。
[ 完成阶段 ]
1) FSRC 每月上旬,发布上月安全情报处理公告,向上月的安全情报报告者致谢并公布安全情报处理情况。有效情报数为零则不发布;
2) 安全情报报告者可以使用安全币兑换成购物卡。兑换成功后,FSRC 将在下个月月初为安全情报报告者发出;
3) 在得到安全情报报告者许可的情况下,FSRC 不定期挑选有代表意义的安全情报进行分析,分析文章将发表在 FSRC 官网。
安全情报主要包含:自身业务的漏洞、威胁情报。
根据漏洞危害程度分为严重、高、中、低四个等级,其中每个等级评分如下:
[ 严重 ]
本等级包括:
1)直接批量获取大量用户的敏感信息的漏洞,包括但不限于核心DB的SQL注入漏洞、直接批量越权获取大量用户订单、询盘信息、身份信息等;
2)直接获取核心业务服务器控制权的漏洞,包括但不限于远程任意命令执行、上传webshell、可利用的远程内核代码执行漏洞;
3)直接导致重大经济损失的交易支付方面的漏洞;
4)直接批量获取大量用户账号控制权,或批量越权执行敏感操作的漏洞,如绕过限制修改用户重要资料、发送/查看/删除/回复询盘、修改密码、虚拟资金消费。
[ 高 ]
本等级包括:
1)直接导致严重影响的逻辑漏洞,包括但不限于任意帐号(非大量)密码更改漏洞、交易支付方面的严重问题;
2)直接导致越权敏感操作的漏洞,敏感操作包括但不限于绕过限制修改用户重要资料、发送/查看/删除/回复询盘、修改密码、虚拟资金消费;
3)直接导致业务拒绝服务的远程拒绝服务漏洞;
4)直接导致远程获取客户端权限的漏洞。包括但不仅限于远程命令执行、任意代码执行;
5)敏感信息泄漏。包括但不仅限于非核心DB SQL注入、源代码压缩包泄漏、服务器应用加密可逆或明文等问题引起的敏感信息泄露、利用难度较大的SQL注入漏洞等、重要系统源代码或密钥或未鉴权的API被泄露;
[ 中 ]
本等级包括:
1)直接导致用户身份信息被盗的漏洞。包括存储型 XSS 漏洞;
2)直接产生明确直接危害的一般逻辑设计缺陷,包括但不限于无限制短信发送等;
3)任意文件读取、下载、写入、删除漏洞;
4)绕过认证访问后台、后台弱口令、获取大量内网敏感信息的SSRF;
5)直接导致越权敏感操作的漏洞。
[ 低 ]
本等级包括:
1)需要交互才能获取用户身份信息的漏洞,包括但不限于反射型 XSS(包括反射型 DOM-XSS)、普通业务的存储型 XSS 等;
2)轻微信息泄漏漏洞。包括但不限于绝对路径泄漏、SVN 文件泄漏、phpinfo、logcat 敏感信息泄漏;
3)任意外部URL 跳转漏洞;
4)非重要的敏感操作 CSRF 以及需借助中间人攻击的远程代码执行漏洞;
5)直接导致越权非敏感操作的漏洞。
[ 无 ]
分值范围 0,兑换安全币为0。
本等级包括:
1) 无关安全的 bug。包括但不限于网页乱码、网页无法打开、某功能无法用;
2) 无 法利用的“漏洞”。包括但不限于没有实际意义的扫描器漏洞报告(如 Web Server 的低版本)、Self-XSS、无敏感信息 的 JSON Hijacking、无敏感操作的 CSRF(如收藏、添加购物车、非重要业务的订阅、非重要业务的普通个人资料修改等)、无意义的源码泄 漏、内网 IP 地址/域名泄漏、401 基础认证钓鱼、程序路径信任问题、无敏感信息的 logcat信息泄漏;
3) 无任何证据的猜测;
4) 与焦点科技无关的漏洞。
根据焦点科技旗下各业务的重要程度分为【核心业务】、【一般业务】、【边缘业务】。
1、核心业务系数10,定义为:业务中涉及会员、资金、交易、询盘/报价等的核心业务;
2、一般业务系数4,定义为:业务中不涉及会员、资金、交易等的一般业务;
3、边缘业务系数1,定义为:一般业务中的非核心业务,包括由第三方供应商提供的系统
产品 | 核心业务 | 一般业务 | 边缘业务 |
中国制造网 | 中国制造网主站、触屏站、会员中心(VO)、供应商APP、买家APP、跨境业务 | 中国制造网其他子站、多国语言主站、批邮系统、后台系统、数据罗盘 | 其他业务如会员E家、TYP APP、电子烟、地区频道、传感网等 |
新一站保险网 | 主站、触屏站、会员中心、渠道业务、APP及对应服务 | 理赔业务 | 保险学堂、旅行箱APP及官网 |
百卓采购网 | 百卓工业品商城、会员中心、百卓主站 | 百卓优采企业版、免费版 | 百卓网主站边缘应用,如商业资讯等 |
焦点教育 | 智慧教室 | 焦点家校 | 官网主站 |
焦点科技 | 邮件系统、VPN系统 | APP应用管理 | 官网主站 |
常熟服装在线 | 主站交易业务 | 会员中心 | 主站的非交易业务,如大市场、阅时尚、跨界吧等 |
文笔天天网 | 文笔天天网主站、会员中心 | 文笔企业私有站点或其他边缘系统 | |
领动 | 领动主站、领动云建站 | ||
健康无忧 | 健康无忧APP及对应服务 | 官网主站 | |
3d-focus | APP及对应服务 | 主站 、文件服务 | |
焦点商学院 | 支付功能 | 主站其他功能 | |
TradeMessenger | 在线客服系统、客户端 | 主站 | |
百分百物流 | 全站 | ||
开锣网 | 全站 | ||
爱聘才 | 全站 |
同时,FSRC 参考行业经验根据业务重要程度,确定了不同业务不同等级安全情报的贡献值和奖励。
系数/贡献值 | 严重 | 高危 | 中危 | 低危 |
核心业务(10) | 90-100 | 60-80 | 30-50 | 10-20 |
一般业务(4) | 36-40 | 24-32 | 12-20 | 4-8 |
边缘业务(1) | 9-10 | 6-8 | 3-5 | 1-2 |
系数/安全币 | 严重 | 高危 | 中危 | 低危 |
核心业务(10) | 3600-4000 | 1600-2000 | 300-500 | 100-200 |
一般业务(4) | 1440-1600 | 640-800 | 120-160 | 40-80 |
边缘业务(1) | 360-400 | 160-200 | 30-50 | 10-20 |
威胁情报是指与焦点科技相关的威胁信息,包括但不限于漏洞线索、攻击线索、攻击者相关信息、攻击方式、攻击技术等。根据危害及情报提供情况详细评分标准如下表:
级别 | 线索范围 | 示例 | 分值范围 |
严重 | 服务器被入侵且提供了入侵行为方式等相关线索 | 业务服务器被入侵且提供了相关行为特征方便快速定位确认问题点 | 9-10 |
重要业务数据库被拖取且提供了数据库名或数据库文件等相关线索 | 业务数据库被拖取,且提供了数据库详细信息,方便快速定位确认问题点 | ||
支付类严重的逻辑漏洞引发的重大经济损失线索 | 提供具体利用过程、利用人数等 | ||
高 | 用户身份信息大规模被窃取且提供了攻击代码等相关线索 | 因漏洞引起的大规模用户身份被窃取 | 6-8 |
中 | 能够帮助完善防御系统以防御高风险及以上级别危害的新型攻击方式、技术等 | 新型 WebShell、DDoS 等攻击方式 | 3-5 |
低 | 攻击者相关信息 | 攻击者身份信息、电话等 | 1-2 |
1) 评分标准仅针对与焦点科技相关的安全情报。域名包括但不限于*.focuschina.com、*.made-in- china.com、*.xyz.cn、*.focusteach.com、*.abiz.com,服务器包括焦点拥有的服务器,产品为焦点发布的客户端产品。对焦点业务安全无影响的安全情报,不计分;
2) 对于移动终端系统导致的通用型漏洞,比如 webkit 的 uxss、代码执行等等,仅给首个漏洞报告者计分,对于其它产品的同个漏洞报告,均不再另外计分;
3) 在反馈远程代码执行/客户端漏洞时,请提供 poc/exploit,并提供相应的漏洞分析,以加快管理员处理速度,未提供 poc 或 exploit 或者没有详细分析的漏洞提交将可能直接影响评分和奖金;
4) 安全情报报告者复查安全问题时如果发现历史上已经完成处置的安全问题仍然存在或未修复好,当作新安全情报继续计分;
5) 同一条安全情报,第一个报告者得分,其他报告者不得分;提交网上已公开的安全情报不计分;
6) 无实际危害证明的扫描器结果,不计分;
7) 以安全测试为借口,利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的,将不会计分,同时我们保留采取进一步法律行动的权利。
为鼓励报告者提交高质量的安全情报,FSRC 设置了月度奖励。当月提交2个以上高危(含更高级别)漏洞/威胁情报,且贡献值大于100的报告者可以参与月度奖励评选。每月奖励名额最多3名,也可能空缺。按贡献值统计排名(贡献值相同,则按当月获取安全币总数多少排序),奖励如下。
排名 | 奖励 |
Top1 | 1000 安全币 |
Top2 | 500 安全币 |
Top3 | 300 安全币 |
为了感谢报告者对FSRC 做出的贡献,尤其是感谢那些花费大量精力关注FSRC 并提交了较多高质量漏洞的报告者,FSRC 设置了年度奖励。按贡献值统计排名(贡献值相同,则按当年获取安全币总数多少排序),奖励如下:
排名 | 奖励 |
Top1 | 5000 安全币 |
Top2 | 3000 安全币 |
Top3 | 2000 安全币 |
Top4 | 1000 安全币 |
Top5 | 1000 安全币 |
奖品使用安全币兑换,多个安全情报产生的安全币可累加。除非特别声明,未使用的安全币不会过期。
由于内部财务要求等方面的原因,个别情况下会出现兑换的单张购物卡被拆分为等额多张的情况,请谅解。
在安全情报处理过程中,如果报告者对处理流程、安全情报评定、安全情报评分等具有异议的,请通过security@focuschina.com或联系官方QQ 进行申诉。必要时会引入外部人士共同裁定。
最终解释权归焦点安全应急响应中心所有