公告编号:FSRC-2017-10
公告日期:2017-06-01
公告编号:FSRC-2019-04
公告日期:2016-04-29
编写人:焦点安全应急响应中心
版本号:4.1
更新日期:2019-12-13
更新内容:
·调整接收范围,重新接收jxc.abiz.com域名
焦点安全应急响应中心(FSRC)于2016年4月29日上线。我们一直高度重视安全工作,也希望通过FSRC近距离地与各位安全专家共同交流与合作。同时,我们也欢迎广大用户能够通过FSRC向我们反馈焦点旗下的产品和业务的安全情报,帮助我们改进安全工作,提高安全水平。
根据焦点旗下各应用的重要程度分为【核心应用】、【一般应用】、【边缘应用】。
1、核心应用系数10,定义为:主营业务中涉及会员、资金、交易、询盘/报价等内容的应用;
2、一般应用系数4,定义为:主营业务中不涉及会员、资金、交易、询盘/报价等内容的应用,以及普通业务核心数据相关的应用;
3、边缘应用系数1,定义为:普通业务中不包括核心数据的应用,以及由第三方供应商提供的系统
产品 | 域名 | 核心应用 | 一般应用 | 边缘应用 |
中国制造网英文版 | www.made-in-china.com | 会员中心(VO)、询盘、RFQ、登录、注册、重要信息展示页、批量邮件系统 | 多语言、数据罗盘、展示厅等 | 其他业务如会员E家、TYP APP、电子烟、地区频道、传感网等 |
开锣网 | www.crov.com | 交易业务、会员中心、登录、注册、重要信息展示页 | 主站其他业务 | 其他子站 |
新一站保险网 | www.xyz.cn | 会员中心、投保、登录、注册、重要信息展示页 | 理赔业务 | 其他业务如保险学堂、诚信资质等 |
新贝网 | www.91xinbei.cn | 会员中心、登录、注册、重要信息展示页 | 其他业务 | |
百卓采购网 | www.abiz.com | 会员中心、登录、注册、重要信息展示页 | 展示厅 | 其他业务如商业资讯等 |
中国制造网中文版 | cn.made-in-china.com | 会员中心、登录、注册、重要信息展示页 | 展示厅 | 其他业务 |
百卓优采 | www.abiz.com/caigoutj | 会员中心、登录、注册、重要信息展示页 | 其他业务 | |
文笔天天网 | www.ttnet.net (不接收文笔企业私有站点及cttnet-bin目录下漏洞) | 会员中心、登录、注册、重要信息展示页 | 其他业务或其他边缘系统 | |
领动云平台 | www.leadong.com | 领动云平台、领动云建站 | ||
| 锦销 | www.jinseller.com | 锦销APP及对应服务 | ||
健康无忧 | www.jiankang51.cn | 健康无忧APP及对应服务 | 官网主站 | |
TradeMessenger | www.trademessenger.com | 在线客服系统、客户端 | 主站 | |
焦点商学院 | www.jdsxy.com | 支付功能、会员中心 | 主站其他业务 | |
爱聘才 | www.ipincai.com | 全站 | ||
常熟服装在线 | www.csfz.cn | 全站 | ||
百分百物流 | www.bfb56.com | 全站 | ||
| 焦点科技内部系统 | 邮件系统,VPN系统,销售系统中涉及合同等敏感信息的业务 | 销售系统中其余业务 | ||
| 焦点科技 | www.focuschina.com | 焦点安全应急响应中心、APP应用管理 | 官网主站 |
FSRC仅接收以上业务的安全情报,对于不在列表中的域名相关漏洞,我们暂不接收
1) 我们非常重视自身产品和业务的安全问题。我们将对每一位报告者反馈的问题进行跟进、分析和处理,并及时给予答复;
2) 我们将安全漏洞的危害作为评定漏洞级别和奖励的唯一标准,而不局限于漏洞类型;
3) 我们支持负责任的漏洞披露和处理过程。我们将对每位恪守白帽子精神,帮助焦点提升安全质量的用户,给予感谢和回馈;
4) 我们反对一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞等;
5) 我们反对一切利用安全漏洞恐吓用户、攻击竞争对手的行为。
本流程适用于焦点安全应急响应中心(http://security.focuschina.com/)(简称"FSRC")所收到的所有安全情报。
[ 预报告阶段 ]
安全情报报告者授权焦点安全应急响应中心(https://security.focuschina.com)生成账号。
[ 报告阶段 ]
安全情报报告者登录焦点安全应急响应中心,提交安全情报(状态:已提交)。
[ 处理阶段 ]
1) 一个工作日内,FSRC会跟进评估问题、处理问题、给出结论(状态:已确认/已忽略)。
2) 三个工作日内,FSRC将与业务部门共同计分并发放奖金。必要时会与报告者沟通确认,请报告者予以协助。
[ 修复阶段 ]
1) 业务部门修复安全情报中反馈的安全问题并安排更新上线(状态:待复测)。修复时间根据问题的严重程度及修复难度而定。一般情况下,严重和高危漏洞修复时效为一个工作日内,中危在三个工作日内,低危在十五个工作日内。客户端安全问题受版本发布限制,修复时间根据实际情况确定;
2) FSRC复查安全问题,确认已经修复完成(状态:已复测)。安全情报报告者在检查已复测状态的问题时如果问题仍存在,可再次提交,并再次计分处理。
[ 完成阶段 ]
1) FSRC每月上旬发布上月安全情报处理公告,向上月的安全情报报告者致谢。有效情报数为零则不发布;
2) 安全情报报告者可以使用安全币兑换成礼品。兑换成功后,FSRC将在下个月月初为安全情报报告者发出;
3) 在得到安全情报报告者许可的情况下,FSRC不定期挑选有代表意义的安全情报进行分析,分析文章将发表在FSRC官网。
安全情报主要包含:自身业务的漏洞、威胁情报。
业务漏洞评分标准
根据漏洞危害程度分为严重、高、中、低、无(忽略)五个等级,其中每个等级评分如下。各等级内各类型漏洞按危害排序,同时评分/奖励也依次降低。
| 漏洞级别 | 定义 | 漏洞类型(不局限于文中所列漏洞) |
|---|---|---|
| 严重 | 直接导致严重敏感信息泄露的漏洞 | 关键DB的SQL注入漏洞 大量(百万级)用户敏感信息泄露(如订单、询盘信息、身份信息等) |
| 直接获取核心应用服务器控制权的漏洞 | 核心应用服务器的远程任意命令执行、上传webshell、可利用的远程内核代码执行 | |
| 直接导致重大经济损失的交易支付漏洞 | 无限制刷取可以直接兑换现金的积分的逻辑漏洞 | |
| 高危 | 直接导致大量经济损失的交易相关漏洞 | 订单及支付系统业务重要判定逻辑绕过的逻辑漏洞 涉及交易、资金、密码,且可以批量操作的CSRF |
| 直接导致核心应用拒绝服务的漏洞 | 直接导致线上核心应用的系统/网络设备/服务器无法继续提供服务的漏洞 | |
| 直接批量获取用户登录凭证的漏洞 | 任意帐号密码更改漏洞 所在应用核心业务重要页面的可传播存储XSS(cookie未设置httponly) | |
| 直接批量越权执行敏感操作的漏洞 | 绕过限制添加/修改/删除用户关键信息(手机号码、邮箱、订单、招募、报价、询盘等) 绕过认证直接访问管理后台,并可修改重要信息或配置 批量越权下载用户核心数据(如保单信息、询盘邮件) | |
| 直接获取非核心应用服务器或客户端控制权的漏洞 | 远程获取客户端权限的漏洞。包括但不仅限于远程命令执行、任意代码执行 非核心应用服务器远程任意命令执行、获取webshell权限、可利用的远程内核代码执行漏洞 | |
| 直接导致高风险的敏感信息泄漏的漏洞 | 非关键DB SQL注入 服务器应用加密可逆或明文等问题引起的敏感信息泄露 重要系统源代码或密钥或未鉴权的重要API被泄露 利用难度较大但可利用的SQL注入漏洞 核心业务重要页面的可传播存储XSS(cookie已设置httponly) | |
| 中危 | 直接导致用户身份信息被盗的漏洞 | 可以直接获取用户登录凭据的存储XSS 客户端明文存储密码 直接导致用户认证信息泄露的撞库漏洞(需提供对应社工库以便验证) |
| 直接导致非核心应用拒绝服务的漏洞 | 直接导致非核心应用拒绝服务的远程拒绝服务漏洞 | |
| 直接产生明确危害的一般逻辑设计缺陷的漏洞 | 任意文件读取、下载、写入、删除漏洞 无限制短信发送 | |
| 获取后台或内网敏感信息的漏洞 | 获取大量内网敏感信息的SSRF 绕过认证访问后台获取敏感信息 | |
| 越权执行敏感操作的漏洞 | 直接越权添加/修改/删除特定用户的关键信息(手机号码、邮箱、订单、招募、报价、询盘等) 直接批量越权添加/修改/删除用户非关键信息 操作敏感数据的CSRF漏洞 | |
| 低危 | 执行非敏感操作的漏洞 | 直接越权绕过限制添加/修改/删除特定用户的非关键信息 非重要敏感操作的CSRF漏洞 |
| 需要交互才能获取用户身份信息的漏洞 | 反射型XSS(包括反射型DOM-XSS) | |
| 任意URL跳转漏洞 | 无任何提示且任意外部URL跳转 | |
| 非直接的远程代码执行漏洞 | 需要借助中间人攻击的远程代码执行 | |
| 轻微信息泄露 | 用户登录凭证使用http明文传输 绝对路径泄漏、SVN文件泄漏、phpinfo、logcat 敏感信息泄漏 服务器版本泄漏、不安全的HTTP方法等信息泄漏(需要证明危害,如可利用的CVE编号) | |
| 其他有可能产生危害的逻辑设计缺陷 | 无限制邮件发送 注册、登录、找回密码处未存在保护机制 绕过验证机制暴力破解用户帐号、密码 | |
| 无危害 | 无关安全的bug | 包括但不限于网页乱码、网页无法打开、某功能无法使用 |
| 无法利用的“漏洞” | 包括但不限于没有实际意义的扫描器漏洞报告(如 Web Server 的低版本)、Self-XSS、无敏感信息的JSON Hijacking 无敏感操作的CSRF(如收藏、添加购物车、非重要业务的订阅、非重要业务的普通个人资料修改等) 401基础认证钓鱼、程序路径信任问题 | |
| 没有证据的推测 | 未提供真实用户账户信息的撞库漏洞 | |
| 与焦点无关的漏洞 | 与焦点无关的漏洞 | |
| 焦点暂不接收的漏洞 | FSRC公告暂时不接受的域名漏洞 |
备注:重要页面,指各功能点的一级页面,如(中国制造网/百卓网的询盘列表页、产品列表页、采购需求页,新一站的用户订单页、保单页等)
FSRC参考行业经验根据业务重要程度,确定了不同业务不同等级安全情报的贡献值和奖励。
系数/贡献值 | 严重 | 高危 | 中危 | 低危 |
核心应用(10) | 90-100 | 60-80 | 30-50 | 10-20 |
一般应用(4) | 36-40 | 24-32 | 12-20 | 4-8 |
边缘应用(1) | 9-10 | 6-8 | 3-5 | 1-2 |
系数/安全币 | 严重 | 高危 | 中危 | 低危 |
核心应用(10) | 3600-4000 | 1200-2400 | 400-800 | 100-200 |
一般应用(4) | 1440-1600 | 480-960 | 160-320 | 40-80 |
边缘应用(1) | 360-400 | 120-240 | 40-80 | 10-20 |
威胁情报评分标准
威胁情报是指与焦点相关的威胁信息,包括但不限于漏洞线索、攻击线索、攻击者相关信息、攻击方式、攻击技术等。根据危害及情报提供情况详细评分标准如下表:
<
| 威胁等级 | 定义 | 情报举例 | 奖励贡献值 | 奖励安全币 |
| 严重 | 针对核心业务系统的完整入侵证据或线索 | 完整入侵某核心业务服务器的线索,可帮助FSRC对入侵事件溯源分析、定位攻击者身份 核心业务数据库被拖取,且提供了数据库详细信息,方便快速定位确认问题点 | 9-10 | 1800-2000 |
| 对焦点产品生态有重大直接影响的黑灰产情报 | 大规模针对MIC付费会员盗号事件的详细情报 | |||
| 高危 | 针对非核心业务系统的完整入侵证据或线索 | 完整入侵某非核心业务服务器的线索,可帮助FSRC对入侵事件溯源分析、定位攻击者身份 | 6-8 | 600-1200 |
| 用户身份信息大规模被窃取且提供了攻击代码等相关线索 | 因漏洞引起的大规模用户身份被窃取 | |||
| 中危 | 能够帮助FSRC完善防御系统,以防御高风险及以上级别危害的新型攻击方式 | 新型WebShell、DDoS等攻击方式 | 3-5 | 200-400 |
| 与焦点合作的第三方平台的相关漏洞 | 第三方接口导致焦点用户密码信息泄漏 第三方平台漏洞导致焦点的付费资料被免费下载 | |||
| 用户身份信息大规模被窃取的信息 | 第三方平台贩卖大量焦点相关用户的个人信息(超过1W条) | |||
| 大型钓鱼站点后台 | 通过欺诈、网络劫持、seo等多种方式吸引了大量流量的钓鱼后台,积累了大量买家数据的(需要证明后台有大量数据,也可以提供相关证明方式详细信息) | |||
| 低危 | 攻击者相关信息 | 攻击者身份信息、电话等 | 1-2 | 20-80 |
| 忽略 | 虚假的相关情报 | 虚假捏造或人为制造情报信息 | 0 | 0 |
| 无效的相关情报 | 错误、无意义或根据现有信息无法调查利用的威胁 | |||
| 单个钓鱼站点 |
备注:该处威胁情报为对应情报基础评分和奖励。如果情报对焦点旗下业务有较大影响、或可以为焦点业务提供重要帮助的,会基于所涉及的信息内容给予最多5倍奖励
评分标准通用原则
1) 评分标准仅针对与焦点相关的安全情报。域名包括但不限于*.focuschina.com、*.made-in-china.com、*.xyz.cn、*.abiz.com、*.crov.com,服务器包括焦点拥有的服务器,产品为焦点发布的客户端产品。对焦点业务安全无影响的安全情报,不计分;
2) 对于移动终端系统导致的通用型漏洞,比如webkit的uxss、代码执行等等,仅给首个漏洞报告者计分,对于其它产品的同个漏洞报告,均不再另外计分;
3) 无实际危害证明的扫描器结果,不计分;
4) 同一处问题产生的多个漏洞,如果修复某一个漏洞后,其余漏洞并不会复现,则只计漏洞数量为一。例如:同一处URL的不同参数涉及的SQL注入漏洞、同一个JS引起的多个安全漏洞、同一个功能模块引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个安全漏洞等;
5) 相同功能处的添加、编辑、删除等操作都出现同类型漏洞(例如平行权限)时,按同一漏洞处理,评分和奖励上会有所提高;
6) 在反馈漏洞时,请提供poc/exploit,并提供相应的漏洞分析,以加快管理员处理速度,未提供poc或exploit,或者没有详细分析的漏洞提交将可能直接影响评分和奖金。提供完整的流程,有助于加快审核速度的漏洞,评分和奖励上会有所提高;
5) 安全情报报告者复查安全问题时,如果发现历史上已经完成处置(状态为:已复测)的安全问题仍然存在,当作新安全情报继续计分;
7) 同一条安全情报,第一个报告者得分,其他报告者不得分;提交网上已公开的安全情报不计分。漏洞审核人员可以在不泄露敏感信息的前提下提供漏洞重复证明;
8) 对于非焦点自身发布的产品和业务,如焦点的投资公司、合资公司、合作区业务,贡献值不超过5,等级不高于【中危】,且不保证能按照预定时间处理;
9) 对于使用的开源软件/第三方插件,由框架导致的同一种漏洞类型,仅收一个漏洞,且不保证能按照预定时间处理;
10) 各等级漏洞的最终贡献值/安全币由漏洞影响范围及利用难度等综合因素决定,若漏洞触发条件非常苛刻,包括但不限于特定浏览器才可触发的XSS漏洞,则可跨等级调整贡献值/安全币;
11) SQL注入类漏洞,禁止大批量获取用户隐私和数据;
12) 以安全测试为借口,利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的,将不会计分,同时我们保留采取进一步法律行动的权利;
13) 安全情报报告者在获取管理员权限的情况下,须谨慎操作,若操作对业务造成影响,将酌情处理。如造成重大影响,将不会计分,同时我们保留采取进一步法律行动的权利;
14) 焦点集团及焦点所属公司员工不得参与漏洞奖励计划。
奖励发放原则
奖品使用安全币兑换,多个安全情报产生的安全币可累加。除非特别声明,未使用的安全币不会过期。
由于内部财务要求等方面的原因,个别情况下会出现兑换的单张购物卡被拆分为等额多张的情况,请谅解。
申诉机制
在安全情报处理过程中,如果白帽在安全情报定级及处理流程上具有异议的,请通过security@focuschina.com或联系官方QQ进行申诉。必要时FSRC会引入外部专业人士共同裁定。
其他
本文档在处理流程方面充分参考了《腾讯外部威胁情报处理流程》。
如果您对本流程有任何的建议,欢迎通过security@focuschina.com向我们反馈。
修订记录
V1.0 2016-04-05 发布第一版。
V2.0 2016-11-30 发布第二版。
V2.1 2016-12-06 改进2016年排名机制,增加贡献值相同情况排名计算机制。
V2.2 2017-03-08 去除暂定或停止接收漏洞的相关站点信息。
V2.3 2017-04-13 改进漏洞审核流程、规则以及奖励
V2.4 2017-06-01 优化漏洞级别划分规则,突出重点关注漏洞
V2.4 2017-07-14 将排除接收公告的内容合并至业务范围,调整业务范围
V2.5 2018-01-15 取消百分百物流业务范围
V2.6 2018-02-12 优化业务定级标准
V2.7 2018-04-03 统一公告自身对于反射XSS的评定
V2.8 2018-06-26 优化漏洞定级规则
V3.0 2019-03-28 公示FSRC收取安全情报的域名业务范围,增加了处置漏洞的状态说明
V4.0 2019-06-06 细化漏洞定级标准,给出对应漏洞类型,减少漏洞定级引起的疑问;修改部分通用原则
V4.1 2019-12-13 调整接收范围,重新接收jxc.abiz.com域名
另外,关于月度奖励和年度奖励欢迎大家随时关注焦点安全官方微信公众号:focus_security
同时我们会不定期的举办活动和奖励哦
焦点安全应急响应中心
2019年03月28日
