返回公告列表

我们将定期在这里发布公告

FSRC漏洞定级调整说明

公告编号:FSRC-2021-02

公告日期:2021-01-07


各位优秀的白帽:


2021年新年好。

作为焦点科技对外的安全窗口,近段时间FSRC对自己的使命进行了深入的思考。

FSRC设立的本心,就是通过外部安全专家帮助项目组消除可能存在的安全隐患。我们的目标是收取真正存在的、可以对业务的运行或用户的数据造成各种影响的漏洞。在经过内部讨论分析及与项目组的沟通后,我们结合自身业务的实际情况,重新制订了相关规则。

本次修订,我们减少收取一些实质上对业务没有实际影响的漏洞,而通过活动和后续的调整,提高对真正有影响的漏洞的奖励。对于部分类型的漏洞以实际造成的危害作为最终定级的标准。本文为我们进行调整的部分思路与细节的说明。

 

(1)反射XSS 

XSS的本质其实就是在前端执行了部分js脚本。焦点本身做了一定的黑/白名单、httponly等避免XSS危害的防御。比如MIC,很多参数都已经设置

httponly.png

因此对于反射XSS,我们仅接收如下几种:

页面未设置httponly,可获取身份凭证且登陆

页面设置了httponly,但通过获取的部分cookie凭证也可以登陆或执行敏感操作

可执行XSS蠕虫,需要提交可执行的代码以便审核

可执行其他敏感操作JS的XSS,如记录密码按键、后台含有敏感信息的截屏等,需提供对应操作代码以便审核

 

(2)信息泄露

对于部分绝对路径泄漏、SVN文件泄露、phpinfo等,我们秉持以漏洞最终危害作为定级标准。

如某个phpinfo泄漏了版本及服务器信息,该泄露的信息无法提供危害及利用,则忽略处理。如果白帽可以利用这些信息连接数据库、远程拒绝服务、拿到shell等,那可以提交对应的漏洞,无论是高危还是严重我们都会依据危害定级。白帽不仅可以提升技术、还可以拿到数十倍于一个低危漏洞的奖金。

但是对于无实际利用价值的路径泄露、只泄露用户名无法利用的接口、无敏感数据的配置文件、无法利用的内网信息等均忽略处理。

 

(3)URL跳转

只有钓鱼危害的url跳转,类似于伪造发件人的钓鱼邮件,不再收取。

如果url中带有用户身份凭证等敏感参数的无提示任意url跳转,照常接收。

 

(4)短信炸弹

短信炸弹,如果本身接口无限制、可绕过验证码、可以通过修改XFF头绕过IP限制等,照常接收。

如果部分漏洞是通过VPN或者代理池这种超出应用层、网络层或者传输层进行修改以绕过IP限制,此类底层的更换IP更接近与黑灰产。举个例子,黑产的猫池拥有一万个终端,同时控制申请注册短信的确危害很大,但是这种类型的短信炸弹无法通过代码层面做出完美的防护方案,不再收取。

 

(5)部分逻辑漏洞

积分/安全币等兑换相关的逻辑漏洞,如果兑换奖品为自动发放,可以无限制刷取并兑换,则根据损失后果按照严重或高危定级。

如果奖励需要人工审核,即使刷取了成千上万的积分,但是本身无法兑换成等价物,则依据危害定级为低危甚至忽略

 

(6)本地拒绝服务

对于本地拒绝服务攻击,考虑到利用难度和实质危害进行定级。如可以通过文件格式解析、网络协议等导致客户端崩溃,依照危害、难度和影响范围定级收取。

如需要用户安装恶意apk才能触发,此类利用难度大、攻击成本高的本地拒绝服务做忽略处理。

 

(7)文件上传

对于文件上传相关漏洞,我们按照可造成的实际危害如getshell、拒绝服务、绝对路径泄漏等,根据实际后果定级。

如上传文件成功但是无法成功解析利用,则忽略处理。

 


除此以外,我们也新增了部分漏洞接收的范围,如严重和高危中增加了“直接篡改核心业务官网主页重要内容”、“劫持官方身份发送任意内容短信给任意用户”等相关攻击方式,以奖励哪些确实对业务造成影响的相关漏洞。

 

结语——想说的话

FSRC设立的本心,就是通过外部安全专家,帮助项目组消除可能存在的安全隐患。我们的目标其实就是收取真正存在的、可以对用户的数据造成各种影响的漏洞。本次修订,我们减少收取一些实质上对业务没有实际影响的漏洞,而通过活动和后续的调整,提高对真正有影响的漏洞的奖励。


我们也深深希望各位白帽能对漏洞的危害进行思考,如何将漏洞深度挖掘、组合利用,进而提出真正有威胁、有价值的漏洞。对于此类漏洞,FSRC也不会吝于安全币,一定会给出满意的奖励。

 

谢谢各位白帽的支持,2021我们不见不散