[PSRC-A-20210111] 平安外部漏洞/情报处理规则5.0

编号:
PSRC-A-20210111
作者:
PSRC
发布日期:
2021-01-11
阅读量:
5217


编写人

平安安全应急响应中心(PSRC

版本号

V5.0

最后更新时间

2021-1-6

适用范围

适用于PSRC平台(security.pingan.com)所收到的漏洞/情报

修订记录

V1.0  2015-07-01 发布第一版

V1.1  2015-08-04 更新评分标准

V1.2  2016-05-06 更新奖励发放细则,提升奖励力度

V2.0  2017-01-12 更新评分标准;提升奖励力度

V3.0  2019-01-24 新增和更新评分范围及标准,新增FAQ

V4.0  2020-02-13 新增威胁情报处理规则

V5.0  2021-1-6更新评级细则;提升奖励力度

实施日期

2021-01-11


基本原则


1)      平安集团非常重视自身产品和业务的安全问题,我们承诺,每一位报告者反馈的问题都有专人进行跟进、分析和处理,并及时给予答复。

2)      平安集团支持负责任的漏洞披露和处理过程,我们承诺,对于每位恪守“白帽子精神”,保护用户利益,帮助平安提升安全质量的白帽子,我们会给予感谢和回馈。

3)      平安集团严禁一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取或篡改用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞、暗藏木马后门不完整上报等。

4)      平安集团严禁一切利用安全漏洞恐吓用户、攻击竞争对手的行为。

5)     提交到PSRC的漏洞禁止以任何形式公开,禁止重复提交到其它第三方漏洞平台,一经发现取消此用户漏洞奖励和其他各种特殊奖励。

6)     平安集团认为每个安全漏洞的处理和整个安全行业的进步,都离不开业界各方的共同合作。希望企业、安全公司、安全组织和安全研究者一起加入到“负责任的漏洞披露”过程中来,一起为建设安全健康的互联网环境而努力。

7)     请报告者严格遵守《PSRC用户服务协议》,详见:https://security.pingan.com/agreement

威胁情报反馈与处理流程


【准备阶段】

漏洞/情报报告者请先通过http://security.pingan.com/submit跳转注册平安一帐通账号,PSRC要求报告者必须实名注册,然后用一帐通账号登录PSRC并完善个人信息完成实名认证。

【报告阶段】

漏洞/情报报告者登录PSRC(http://security.pingan.com/,提交漏洞/情报(状态:待审核)。

【处理阶段】

1) 一个工作日内,PSRC工作人员会确认收到漏洞/情报报告并开始评估问题(状态:审核中);

2) 五个工作日内,PSRC工作人员处理问题、给出结论并发放漏洞奖励(状态:已确认/已忽略)。必要时与报告者沟通确认,请报告者予以协助。

【修复阶段】

1) 业务部门修复漏洞/情报并安排更新上线(状态:已修复)。修复时间根据问题的严重程度及修复难度而定,APP客户端漏洞/情报受版本发布限制,修复时间根据实际情况确定;

2) 漏洞报告者复查漏洞/情报(状态:已复查/复查异议)。

【完成阶段】

PSRC完成漏洞/情报处理后,更新漏洞/情报处理状态,漏洞/情报报告者可见更新状态。漏洞奖励将以积分的形式发放,报告者可在PSRC平台个人中心处查看并提取漏洞奖励。

评级奖励标准通用原则


1)     本原则适用于所有漏洞和安全情报。

2)      漏洞/情报重复或类似:

a)      在PSRC站点提交相同漏洞/情报,第一个报告者获得奖励,后续报告者不得奖励;

b)      在其他平台已经提交过的漏洞/情报,同一个人或其他人再提交到PSRC的漏洞/情报忽略处理;

c)      通用型漏洞(同一个漏洞源产生的多个漏洞)一般计漏洞数量为一个,若提交多个漏洞,第一个漏洞正常评级,其余漏洞降级或忽略处理。例如同一个JS引起的多个XSS漏洞;同一个发布系统引起的多个页面的XSS漏洞;底层框架导致的整站平行权限和存储型XSS/CSRF漏洞;同一个url多个参数SQL注入;同一域名下同一组件产生的多个XSS漏洞或其他漏洞的相同问题等;

d)      服务器某一配置、应用框架某一全局功能、同一文件或模板、泛域名解析等引起的多个问题,请按同一漏洞提交,若提交多个漏洞,第一个漏洞正常评级,其余相似漏洞降级或忽略处理;

e)      相同业务的同一个功能处的添加、编辑、删除等操作都出现同类型漏洞(例如平行权限)时,请按同一漏洞提交,若提交多个漏洞,第一个漏洞正常评级,相似漏洞降级或忽略处理。

3)      对内部已经发现并在处理的漏洞/情报,做忽略处理,PSRC审核员不会随意忽略外部安全人士提交的漏洞/情报。

4)      漏洞/情报报告者在PSRC宣布修复后,复查漏洞/情报时如果发现漏洞/情报仍然存在或未修复好,可再次提单反馈漏洞/情报。

5)      请漏洞/情报报告者严格按照《平安SRC漏洞提交规范》(附录1)提交漏洞/情报报告,所有漏洞/情报需提供利用条件的来源和证明,包括但不限于

a)      在漏洞测试过程中用到账号登录,但账号来源不是通过注册获得的,需要提供所用账号密码及账号密码的来源,否则将扣除该漏洞奖励;

b)      接口类URL上的漏洞需提供该接口的来源以及调用此接口的页面URL,如果是爆破所得,需在报告说明爆破时间、爆破ip及爆破方法,否则仅给对应漏洞级别的最低漏洞奖励;

c)      对于其他类型漏洞,未提供漏洞利用条件的来源和证明的,都仅给对应漏洞级别的最低漏洞奖励。

6)      所有漏洞报告需提供漏洞利用过程的详细信息,包括但不限于:域名,详细URL、poc代码或截图或视频、数据证明等,如有漏洞利用工具,请提供利用工具名称,经过验证切实可用并造成相应危害的才收取;您提交漏洞/情报报告的规范性可能会影响最终评级,漏洞/情报证明清晰的适当增加奖励,反之适当降低奖励。

7)      涉及到与平安安全的漏洞/情报,禁止未经平安授权,私自公开漏洞情报的行为,一旦发现严肃处理,包括奖励取消,账户禁用等。

8)      通用型漏洞,如struts、weblogic出现新漏洞,首位附poc报告者得漏洞对应等级最高奖励,报告时间1个月内其他该漏洞引起的问题忽略处理,1个月后如仍存在该问题则按漏洞对应级别收取。

9)      对于第三方SDK/第三方库导致的客户端漏洞(包括PC和移动端),且可以通过升级或者更换第三方SDK/第三方库可完成修复的漏洞,仅收取第一个报告的漏洞。若3个月后还发现存在此漏洞,可再次提交。

10)   对于移动终端系统导致的通用型漏洞,比如webkit的uxss、代码执行等,仅收取第一个报告的漏洞,对于其他产品的同个漏洞报告,均不再另外收取。

11)   对于非平安直接参与运营的产品和业务或是平安云外部租户的应用漏洞/情报,均不收取。

12)   用于测试上传的webshell文件命名必须包含PSRCTEST,测试用webshell不能含有远控、数据传输、文件浏览等功能(建议用print ***),以免造成不必要的麻烦。PSRC对上传真实webshell的漏洞做降级处理。

13)   拒绝无实际危害证明的扫描器结果,此类报告将被忽略处理。

14)   评级标准仅适用于可威胁到平安集团产品和业务相关的漏洞/情报。与平安集团完全无关的情报将不收取。

15)   以安全测试为借口,利用漏洞/情报信息进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的,将不会收取,同时平安保留采取进一步法律行动的权利。

本标准所有内容最终解释权归PSRC所有。

评级奖励标准细则


PSRC漏洞情报主要包含两大部分的内容:业务漏洞和安全情报。下面分别说明其评级标准。

业务漏洞奖励标准


安全漏洞评级由PSRC结合利用场景中漏洞的严重程度、利用难度、业务范围等综合因素给予相应的漏洞奖励。依据漏洞危害程度,漏洞等级分为严重、高、中、低、无影响五个等级。

业务范围

官网宣传业务

网站地图(http://www.pingan.com/homepage/sitemap.html

移动平安(http://www.pingan.com/mobile/index.shtml)含APP、移动网站和微信公众号

*其中已经声明下线的业务除外

边缘业务

平安集团的测试和开发环境的业务。

平安集团旗下公司的全资子公司产品和业务,平安集团旗下公司的分公司产品和业务。

与平安集团有合作的产品和业务,视合作程度、开发运营负责方、资产管辖权等而定,漏洞修复时限无约束。平安集团不可控的业务漏洞不予受理。

平安集团旗下的微信公众号(非移动平安列举范围),且其内容为宣传推广并不涉及业务数据的业务。

非平安集团业务,但平安集团是该业务的用户,原则上不予受理,若漏洞对平安集团影响较大可受理。

集团业务

除边缘业务外,属于平安集团旗下的所有业务,集团业务包含官网宣传业务。

 

评级奖励表:各等级包含的奖励标准及漏洞类型(同一等级内漏洞优先级不分先后)例举如下:

风险等级

业务范围

漏洞奖励(元)

漏洞示例

 

官网宣传业务

5000-8000

1.     直接获取系统权限(服务端权限、客户端权限)的漏洞,包括但不限于任意代码执行、任意命令执行、上传Webshell并可执行等;

2.     生产业务系统严重的逻辑设计缺陷,包括但不限于账户、支付方面的安全问题,如任意账号登录、任意账号密码修改、任意账号资金消费、支付交易方面的严重问题;

3.     通过SQL注入获取系统权限。

4.     移动端:远程代码执行,严重的信息泄露(支付相关信息如卡号,有效期)等

5.     PC端:可利用的远程代码执行漏洞,包含但不限于堆栈溢出、UAF、逻辑错误导致的漏洞等;

集团业务

2000-4000

1.     高风险的信息泄露漏洞,包括但不限于DB的SQL注入漏洞,泄露用户账户支付相关信息泄露,核心功能的源代码泄露(含算法,重要业务逻辑等),泄露用户隐私信息等;

2.     越权访问,包括但不仅限于绕过认证直接访问管理后台可操作,应用非授权访问、应用后台弱密码等,能通过泄露的token/session登录系统或通过泄露的接口获取高风险敏感信息的springboot未授权访问等;

3.     平行权限,包括但不仅限于能够访问其他用户敏感信息(包括用户资料信息和订单/保单信息)、针对非当前登录用户的越权操作等;

4.     移动端:能够远程获取大量用户敏感信息的漏洞,安装恶意app在新版安卓原生环境下的 app 克隆类漏洞,需安装App才能读取用户敏感隐私数据类漏洞,恶意app跨应用调用移动客户端的功能完成一些高危操作(如文件读写,短信读写,客户端自身数据读写等),高风险的信息泄露(参照第1条)等;

5.   PC端:本地任意代码执行,包含但不限于可利用的DLL劫持、堆栈溢出、UAF、本地提权等

集团业务

600-1000

1.     普通信息泄露,包括但不限于包含服务器或数据库敏感信息的源代码压缩包下载、springboot未授权访问敏感端点信息等

2.     影响应用正常运转,造成不良影响的漏洞,包括但不限于应用层拒绝服务等;

3.     弱验证机制引发的漏洞,包括但不限于可暴力破解的加密方式、未做访问次数限制的业务相关接口,帐户相关暴力破解且成功获取帐户信息等。

4.     需交互才能获取用户身份信息的漏洞,包括但不限于敏感操作的CSRF,json hijacking、可造成严重危害的存储型XSS等

5.     移动端:有资金或虚拟货币交易类应用未正确校验https证书(其他应用类型未正确校验https证书,根据业务范围评级低或无影响),需要安装 app 读取用户敏感信息类漏洞,需安装App在较旧的安卓原生环境下才能做到 app 克隆类漏洞,普通的信息泄露(参见第1条)等

6.     PC端:远程拒绝服务,普通的信息泄露等

边缘

200-600

集团业务

100-200

1.     可被利用于钓鱼攻击的漏洞,包括但不限于URL重定向漏洞等

2.     轻微信息泄露:服务器敏感信息的日志文件下载、客户端明文存储密码

3.     提供poc但难以利用的安全隐患。包括但不限于可能引起传播的self-xss、不能引起较大危害的存储型XSS、反射型XSS(包括反射型DOM-XSS,Flash型XSS)等

4.     移动端:需要复杂的环境和条件才能触发的漏洞,特定场景且需要用户配合才能造成的安全漏洞,轻微的信息泄露等

5.   PC端:轻微的信息泄露等

边缘

50

所有

0

1.     不涉及安全问题的BUG,包括但不限于产品功能缺陷、页面乱码、样式问题

2.     无法利用的漏洞,包括但不限于难以利用的self-xss、非敏感操作的CSRF、用户弱口令、无敏感信息的json hijacking、无意义的源码泄露、内网ip地址/域名泄露、后台信息泄漏、路径信息泄露、TFS信息泄露、网站路径泄露、不能解析的任意文件上传、没有实际意义的扫描器漏洞报告、无敏感信息的svn文件/phpinfo/logcat等等

3.     不能重现的漏洞,包括但不仅限于PSRC工作人员确认无法重现的漏洞

4.     运营预期之内或无法造成资金损失的问题,包括但不限于使用多个账号领取小额奖励的正常业务活动

5.     移动端:

① 不涉及安全问题的bug。包括但不限于产品功能缺陷、页面乱码、样式混编、静态文件目录遍历、应用兼容性等问题等。

② 无实际意义的漏洞。 包括但不限于无意义的打印,没有实际意义的扫描器漏洞报告(如:硬编码、无混淆,Activity组件劫持、未加固/脱壳反编译、Janus签名绕过等)

③ 实际业务需要配置的有风险的权限但是无法利用的漏洞。

④ 无法重现的漏洞、不涉及敏感信息的信息泄露、不能直接体现漏洞的其他问题。包括但不限于纯属用户猜测的问题。

⑤ 低影响的本地DoS攻击。

6.     PC端:无利用价值的Crash等

*严重漏洞仅限官网宣传业务可评。

*边缘业务最高评级为中危。

*漏洞示例类型是严重,但业务不在官网宣传业务中,降级到高危。

*集团业务评级高、中、低风险的,若业务在官网宣传业务中有列举的奖励相对偏高,反之偏低。

安全情报奖励标准


安全情报是指平安的产品和业务漏洞相关的情报,包括但不限于漏洞线索、攻击线索、攻击者相关信息、攻击方式、攻击技术、造成危害等。由于情报分析调查的时间较长,因此确认周期相比漏洞的时长较长,请耐心等待

情报奖励标准

安全情报评级由PSRC结合业务等级、实际影响和情报线索完整度等综合因素给予相应的情报奖励。依据情报危害程度,情报等级分为严重、高、中、低。

漏洞等级

情报奖励(元)

情报示例

严重

5000-8000

1、针对官宣业务系统的的入侵情报,如核心服务器的入侵且提供了入侵方式等相关线索。

2、重要业务数据库被拖取且提供了数据库名或数据库文件等相关线索。

3、对核心业务造成重大影响的威胁组织活动情报。如:保单信息大规模贩卖等。

高危

1000-2500

1、对非官宣系统的入侵情报,能够帮助PSRC对入侵事件溯源分析、定位攻击者身份。

2、对有组织有计划的骗保、骗贷等行为提供相关线索。

3、对利用业务规则缺陷大规模低价购买行为等事件提供相关切实线索。

4、核心代码仓库源代码泄露,如:泄露核心系统完整代码,可外网连接的数据库账号密码等

 

中危

200-800

1、针对平安集团的新型攻击技术、工具及平台等。如:漏洞利用工具等。

2、一般风险的业务安全问题。如营销活动作弊、业务规则绕过。

3、对有针对性的刷积分、作弊、绕过现有认证或者流程的事件提供相关线索。

低危

50-200

1、平安集团核心业务相关的钓鱼网站。

2、平安集团核心业务仿冒APP

3、泄露了10-100条敏感信息的网盘、文库等。

4、  普通代码仓库源代码泄露,如少量敏感信息泄露、部分可利用接口代码、测试环境代码等。

无危害

0

1、不能证实、或人为制造的等虚假或无效威胁情报。

2、PSRC已知或不具实效性的威胁情报。

3、提交可能薅羊毛、套现的QQ群号,且未提供其他有效信息。

4、运营预期之内或无法造成资金损失的问题,包括但不限于使用多个账号领取小额奖励的正常业务活动

5、  提交可能售卖用户数据的暗网地址,且未提供其他有效信息。

情报收集范围

一、技术情报(包括但不限于

1)      系统、服务器或设备被入侵且提供了行为方式等相关线索;

2)      重要业务数据库被拖取且提供了数据库详细信息,如数据库名或数据库文件等相关线索;

3)      严重的金融逻辑漏洞,如支付类逻辑漏洞等相关线索;

4)      新型病毒、木马、蠕虫传播且提供了源链接等相关线索;

5)     用户敏感信息大规模被窃取且提供了攻击代码、利用工具等关相关线索;

6)     能够帮助完善防御系统的新型攻击方式、技术,如新型 WebShell、DDoS等攻击方式。

7)     代码仓库信息泄露,如github、码云、网盘、文库等

二、业务情报(包括但不限于

1)     对有组织有计划的骗保、骗贷等行为提供相关线索;

2)     对大批量的注册小号、薅羊毛、套现等行为提供相关线索;

3)     对利用业务规则缺陷大规模低价购买行为等事件提供相关线索;

4)  对有针对性的刷积分、作弊、绕过现有认证或者流程的事件提供相关线索

5)  对有组织有规模的盗取和售卖用户数据等行为提供相关线索;

三、无效情报(包括但不限于

无效情报是指错误、无意义或根据现有信息无法调查利用的威胁情报

1)     提交已发现或失效的情报;

2)     提交虚假捏造或人为制造的情报信息;

3)     提交可能薅羊毛、套现的QQ群号,且未提供其他有效信息的;

4)     提交可能售卖用户数据的暗网地址,且未提供其他有效信息的;

5)     提交接码群、羊毛群群主的截图和售卖的羊毛工具,但未切身证实可利用的。

情报报告标准

情报报告必须经过情报提交者的验证和复现并提供相关证明材料(不限于复现截图和视频)用于证明威胁情报真实有效;情报提供者需写清楚事实依据,同时应该反馈详细复现信息包括但不限于复现行为开始时间,复现行为结束时间,复现结果和结果证明,复现账号和ID等。未能主动证明真实性的情报将按照无效情报处理。

情报报告的完整性对情报的价值体现有着重要的影响,情报线索清晰、完整有助于工作人员快速定位、验证和跟踪威胁情报。上报情报时,请参考如下标准:

情报标题

简单扼要概括情报内容

情报来源

声明情报来源,如社交群、论坛、网站等并提供相关链接及截图证明

情报内容

何种人群在何时何地出于何种目的通过何种行为对何种业务造成何种危害或损失,如威胁情报组织信息、造成威胁的手段方法、情报涉及的系统和业务信息等并提供相关截图证明

数据证明

提供复现视频或截图,以及情报相关数据真实性证明,如10-20条相关数据样本、攻击代码、攻击工具、危害证明截图等

奖励发放原则


常规奖励

常规奖励是对单个漏洞/情报根据奖励标准进行现金奖励,由PSRC指定第三方负责报税及发放。

提现时间:白帽子可在每月的最后一个工作日前完成提现,逢节假日等特殊情况会另外公告通知;

处理时间:为保障广大白帽子们的利益,PSRC将于每月的第一个工作日统计上月兑换现金的人员信息,提交打款,逢节假日等特殊情况会另外公告通知。

到账时间:最终金额到账时间以银行为准,请大家耐心等待,感谢理解。

季度奖励

为了鼓励漏洞/情报报告者提交高质量漏洞/情报,我们PSRC每季度单独设置3个额外特殊贡献奖励,入围条件:当季度必须提交至少3个有效高危漏洞/情报或一个有效严重漏洞/情报,如无符合条件者,此奖项可为空,当季度排名一致均分相应名次所得奖金。

奖励标准将依据漏洞/情报等级高低而定,规则如下:

当季度提交的漏洞/情报中,按严重、高危、中危排序,严重漏洞/情报数多者排名优先,依此类推,各等级漏洞/情报数量相同则排名一致。每季度评出3名获奖者,总奖金一万八千人民币,最高可获得一万元的额外奖励。我们的季度漏洞/情报奖励如下:

奖项

奖励

第一名

10000

第二名

5000

第三名

3000

 

*季度奖励金额为税后金额,由PSRC指定第三方负责报税及发放。

最具价值漏洞奖励

该项奖励每年度评选一次:

凡是已经确认的有效漏洞所影响的系统为官宣业务且漏洞等级为严重,根据漏洞对业务产生的实际危害,对漏洞进行二次综合评定,选出对平安安全提升最大的最具价值漏洞,除常规漏洞奖励之外,视情况额外奖励5-8万元人民币。

团队奖励

为感谢各安全团队对平安集团安全应急响应中心(PSRC)的关注与支持,PSRC推出年度优秀安全团队奖励计划。

PSRC年度优秀团队奖励计划,具体如下:

团队等级

白银

黄金

铂金

钻石

奖金总数

≥20000

≥60000

≥120000

≥200000

团队人数

 3

 5

 5

 5

高危漏洞数

 6

 10

 15

 20

荣誉奖励

定制奖杯

定制奖杯

定制奖杯

定制奖杯

 

1)      以上数据均为年度数据,每年度结算一次,若当年无上榜的安全团队,则奖项自动空缺

2)      对于“白银”队安全团队称号,需有三名以上队员出现在年度英雄榜,且团队成员提交的漏洞/情报中至少有六个高危漏洞/情报,团队总奖金需大于20000;

3)      对于“黄金”队安全团队称号,需有五名以上队员出现在年度英雄榜,且团队成员提交的漏洞/情报中至少有十个高危漏洞/情报,团队总奖金需大于60000;

4)      对于“铂金”队安全团队称号,需有五名以上队员出现在年度英雄榜,且团队成员提交的漏洞/情报中至少有十五个高危漏洞/情报,团队总奖金需大于120000

5)      对于“钻石”队安全团队称号,需有八名以上队员出现在年度英雄榜,且团队成员提交的漏洞/情报中至少有二十个高危漏洞/情报,团队总奖金需大于200000

6)      每个团队成员如需申请创建/加入/变更PSRC安全团队,需发送团队名称,团队负责人联系方式等信息到pub_sec@pingan.com.cn邮箱,PSRC将进行团队审核与分配。一旦加入团队,3个月内不得变更或退出。

7)      荣誉奖杯以团队为单位发放(即一个团队一个奖杯),将由PSRC年终颁给队长。

8)     PSRC每个安全团队人数应不超过10人,现团队中,超过10人的,由队长决定拆分成两个或多个队伍

9)     对于外面已存在的团队名称,PSRC将对团队的所有权持谨慎态度,原则上需要相关团队leader授权,最终解释权归PSRC所有。

特别提醒

对平安集团员工,负责安全的专业人员提交自己所负责专业公司或分公司的安全漏洞/情报不予奖励,集团性质的安全组织人员禁止在PSRC上提交漏洞/情报兑换奖励。平安员工不参与PSRC年度、季度、最具价值漏洞等其他奖励评选。

争议解决办法

在漏洞/情报处理过程中,如果报告者对处理流程、漏洞/情报评定、漏洞/情报评级等具有异议的,请通过QQ群(112531831,加群注明PSRC昵称)或邮箱(pub_sec@pingan.com.cn)与我们联系。平安集团安全应急响应中心将根据漏洞/情报报告者利益优先的原则进行处理,必要时可引入外部人士共同裁定。

FAQ

QPSRC上漏洞奖励提现后多久可以到账?

A:PSRC白帽子在平台提现时需先在isrc.pingan.com上维护个人身份证及银行卡信息。为保障广大白帽子们的利益,PSRC将于每月的第一个工作日统计上月提现的个人信息,提交打款。最终金额到账时间以银行为准,请大家耐心等待,感谢理解。

 

Q:PSRC有没有先“忽略” 漏洞/情报之后偷偷修复情况?

A:绝对不会。提交的“漏洞/情报”一旦进入“忽略”状态,审核会在备注中说明具体的忽略理由。当然也有可能由于业务本身的变动导致漏洞/情报不再存在,但无论如何,PSRC都不会“偷偷”修复。

 

Q:平安哪些业务可以进行安全测试,有哪些问题需特别注意?

A:对平安业务进行安全测试前,请认真阅读《PSRC用户服务协议》。

附录1:《平安SRC漏洞提交规范

说明:

1. 本规范用于规范白帽子提交漏洞的格式要求;

2. 提交漏洞需要按本规范要求填写,您提交漏洞报告的规范性可能会影响最终奖励,漏洞证明清晰的适当增加奖励,反之减少奖励。

一、漏洞名称

1. 漏洞名称应明确说明漏洞所在业务、漏洞类型等信息,避免使用【平安某接口】、【平安某业务】、【平安某站】、【平安】等泛指的词;

2. 若不确定漏洞所属的业务是什么,请使用域名或IP等代替;

3. 漏洞标题中不需要写影响的内容、影响的范围等。如避免使用标题【XXX漏洞泄露用户X条敏感信息(含姓名、电话、卡号)】等,此类信息请在漏洞详情中写明; 

举例:

《平安首页搜索功能反射型XSS漏洞》

《xxx.pingan.com springboot接口泄露用户敏感信息》

《平安xx平台地址簿存越权查看漏洞》

二、漏洞类型

1. 漏洞类型请按真实漏洞类型选择;

2. 对于漏洞类型确实不明确的,请先确定漏洞大类,再选择相应小类里的「其他」;

3. 若漏洞是由若干漏洞组合利用的,请选择其中最主要问题的漏洞类型;

三、漏洞等级

漏洞等级会直接影响漏洞影响强度,虚标高漏洞等级会消耗大量人力物力资源响应漏洞,请严格按漏洞危害选择相应漏洞等级。

四、漏洞URL

Web类漏洞需要提供漏洞URL,漏洞URL应当为漏洞最关键部分的URL,如存储XSS的输入或输出点页面URL、SQL注入点的URL、POST型反射XSS的目标URL等。URL需要是完整的链接,不能仅写主域名。

举例:

反射型XSS:https://www.xxx.com/foo/bar?alice=

GET型CSRF:https://www.xxx.com/update/profile?name=test

五、漏洞详情

原则:

1. 尽可能提供足够的信息,如无特殊必要情况,所有信息能直接提供在漏洞详情的请直接在漏洞详情填写,请勿仅提供简单描述+文档/视频等方式提交漏洞详情;

2. 准确、客观的描述漏洞的来源,漏洞出现的位置、测试步骤、PoC/EXP、影响大小等,并提供关键步骤的截图、利用成功的截图、视频等(视频等信息仅做为漏洞详情的补充说明,不能只提供视频);测试步骤和POC必须填写完整。漏洞利用点:客户端漏洞需要提供准确的漏洞代码位置,包括包名、类名、关键部位代码问题说明。如果是非代码类的,业务操作相关的漏洞,需要明确说明功能入口;

3. 客户端漏洞需要提供存在问题的客户端、版本号,特殊渠道下载的包请说明下载来源;

4. 接口类URL上的漏洞请同时提供调用此接口的业务页面URL;如果接口是爆破所得,需在报告说明爆破时间、爆破ip及爆破方法;需要前置步骤或前置权限的,请一并说明,如有Referer校验的URL需要提供前置的测试步骤;

5. 非常见的漏洞类型请额外提供漏洞原理、成因、修复方案等,并附上参考资料链接;常见的漏洞无需提供漏洞上述信息。

6. 漏洞关键步骤为HTTP POST的,请在漏洞详情正文最后提供完成的POST包,如SQL注入、越权等漏洞。HTTP头中的Cookie字段的值可置空,但需要留有Cookie字段名。若为文件上传类等漏洞,请把包中文件内容字段置空以减少内容大小;

部分漏洞详情额外要求说明:

1. POST型CSRF等:请提供PoC、漏洞所在页面URL;

2. 存储型XSS:请提供输入点所在页面URL、输入点字段名、Payload、输出点URL、输出点具体位置的截图说明,如果触发路径较长,需同时提供触发方式;

3. SQL注入漏洞:请提供注入点URL所在页面URL(如果有)、注入点URL、注入成功后的截图;

4.有账号认证的应用需提供漏洞测试时所使用的账号名信息,如果账号来源不是通过注册获得的,需要提供所用账号密码及账号密码的来源。 

六、结语

漏洞报告的完整性规范性对漏洞的价值体现有着重要的影响,漏洞内容清晰、完整、规范有助于工作人员快速定位、验证和修复漏洞。感谢各位白帽子的理解与支持!


欢迎社会各界向我们反馈平安集团所有产品和业务的安全问题,更多信息可见报告漏洞