轻松筹安全应急响应中心(QSSRC)

轻松筹安全应急响应中心

提交漏洞

轻松筹安全应急响应中心外部漏洞奖励规则V1.0

一、奖励标准:

根据漏洞对公司整体业务的影响程度将漏洞等级分为【严重】、【高】、【中】、【低】四个等级。每个漏洞级别对应的奖励标准见下表,由 轻松筹SRC结合利用场景中漏洞的严重程度、利用难度、影响范围等综合因素进行漏洞评级:

系统重要性严重高危中危低危
核心应用1500-2000
800-1200200-50050-100
一般应用800-1000
300-600100-20030-50
边缘应用300-500150-30050-10010-30

"严重安全问题

1.直接获取核心服务器权限的漏洞,包括但不限于上传Webshell、任意代码执行、远程命令执行等;

2.核心系统严重的信息泄露漏洞,包括但不限于核心DB的SQL注入、大量用户严重敏感身份信息泄露(如包含敏感字段:姓名/身份证、银行卡信息、手机号/邮箱、密码、地址等)、企业内部核心数据泄露等;

3.核心系统严重的逻辑设计或流程缺陷,包括但不限于批量修改任意账号密码漏洞、任意账号资金消费、任意金额修改的支付漏洞等;

4.严重影响核心系统可用性的漏洞,如可直接导致核心系统业务瘫痪的拒绝服务漏洞(如S2-020补丁绕过切换web目录可直接导致网站挂掉);

高危安全问题

1.直接获取重要业务服务器权限的漏洞。包括但不限于任意命令执 行、上传webshell、任意代码执行;

2.直接导致重要的信息泄漏漏洞。包括但不限于重要DB的SQL注入漏洞;重要业务大量源码泄露;

3.严重的越权访问。包括但不限于绕过认证访问重要系统后台;批量盗取用户重要身份信息;

4.较严重的逻辑设计或流程缺陷,包括但不限于重要系统任意密码重置漏洞;

中危安全问题

1.需交互才能获取用户身份信息的漏洞。包括但不限于核心及重要系统存储型XSS漏洞;

2.任意文操作漏洞。包括但不限于任意文件读、写、删除、下载等操作;

3.普通的越权访问。包括但不限于绕过限制修改用户资料、执行用户操作、读取用户信息;绕过限制访问非重要系统后台;

4.比较严重的信息泄漏漏洞。包括但不限于敏感信息文件泄露(如DB连接密码);

低危安全问题

能够造成一定影响但无法直接获取设备权限和影响数据安全的漏洞,包括但不限于:

1.反射型XSS; 

2.普通的CSRF;URL跳转; 

3.轻微信息泄漏,如phpinfo;

4.其他难以利用但存在安全隐患的漏洞。

备注:

以上三个级别问题不包括

1、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。

2、无法利用的漏洞。无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。

3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。

漏洞评定通用原则

https://www.vulbox.com/faq/?id=196

厂商保护机制

如果同一个系统中短时间发现了大量的同类型高危漏洞(如SQL注入、越权等),审核员判定该系统几乎没有做任何防护,会与厂商沟通该系统的该类型漏洞是否要继续收取;若厂商表示该类漏洞已知不再收取,则平台方正常审核前三个该类型漏洞,其他同类型漏洞均降级处理,并发布通知同系统同类型漏洞均不再收取,直到厂商修复后重新开放该漏洞类型收取。"


二、业务重要性

核心应用:轻松筹、轻松保险

一般应用:

轻松健康、朵尔互联网医院

边缘应用:

其它业务支撑系统

以上最终奖励标准解释权归轻松筹公司所有。