[PSRC-A-20160014] PSRC漏洞评分标准v2.0

编号:
PSRC-A-20160014
作者:
PSRC
发布日期:
2017-01-12
阅读量:
11786

PSRC介绍

平安集团安全应急响应中心(Pingan Security ResponseCenter,以下简称为PSRC,http://security.pingan.com/)隶属于平安集团,是外部用户向平安集团反馈各产品和业务安全漏洞的平台,也是平安集团加强与安全业界和同仁合作交流的渠道之一。

如果您对本流程有任何建议,欢迎您通过邮箱(pub_sec@pingan.com.cn)与我们联系。

 

适用范围

本规范适用于处理PSRC漏洞反馈平台(http://security.pingan.com/)所收到的安全漏洞。

 

实施日期

本规范自2017年1月12日起正式实行。


1   基本原则

* 平安集团非常重视自身产品和业务的安全问题,我们承诺,每一位报告者反馈的问题都有专人进行跟进、分析和处理,并及时给予答复。

* 平安集团支持负责任的漏洞披露和处理过程,我们承诺,对于每位恪守“白帽子精神”,保护用户利益,帮助平安提升安全质量的白帽子,我们会给予感谢和回馈。

* 平安集团严禁一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取或篡改用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞、暗藏木马后门不完整上报等。

* 平安集团严禁一切利用安全漏洞恐吓用户、攻击竞争对手的行为。

*  提交到PSRC的漏洞禁止以任何形式公开,禁止重复提交到其它第三方漏洞平台,一经发现取消此用户漏洞奖励和其他各种特殊奖励。

*平安集团认为每个安全漏洞的处理和整个安全行业的进步,都离不开业界各方的共同合作。希望企业、安全公司、安全组织和安全研究者一起加入到“负责任的漏洞披露”过程中来,一起为建设安全健康的互联网环境而努力。


2   漏洞反馈与处理流程

(1) 准备阶段

漏洞报告者请先通过http://security.pingan.com/submit跳转注册平安一帐通账号,PSRC要求安全人士必须实名注册,然后用一帐通账号登录PSRC。在申请一帐通帐户默认生成万里通账号并绑定,该账号能登录PSRC提交漏洞和登录平安万里通或平安壹钱包APP领取和消费提交漏洞的奖励积分。

(2)  报告阶段

漏洞报告者登录PSRC(http://security.pingan.com/),提交漏洞(状态:待审核)。

(3)处理阶段

1) 一个工作日内,PSRC工作人员会确认收到漏洞报告并开始评估问题(状态:审核中);

2) 五个工作日内,PSRC 工作人员处理问题、给出结论,漏洞确认后五个工作内派发平安万里通积分(状态:已确认/已忽略)。必要时与报告者沟通确认,请报告者予以协助。

(4)修复阶段

1) 业务部门修复漏洞并安排更新上线(状态:已修复)。修复时间根据问题的严重程度及修复难度而定,APP客户端漏洞受版本发布限制,修复时间根据实际情况确定;

2) 漏洞报告者复查漏洞(状态:已复查/复查异议)。

(5)  完成阶段

PSRC完成漏洞处理后,更新漏洞处理状态,漏洞报告者可见更新状态。


3   安全漏洞评分标准

(1) 积分奖励形式:PSRC采用“平安万里通积分”作为货币单位,500万里通积分=1元。

(2)安全漏洞评分由PSRC结合利用场景中漏洞的严重程度、利用难度、业务范围等综合因素给予相应的平安万里通积分。依据漏洞危害程度,漏洞等级分为【严重】、【高】、【中】、【低】、【无影响】。

(3)业务范围

官网宣传业务

网站地图(http://www.pingan.com/homepage/sitemap.html

移动平安(http://www.pingan.com/mobile/index.shtml)含APP、移动网站和微信公众号

*其中已经声明下线的业务除外

边缘业务

平安集团的测试和开发环境的业务。

与平安集团有合作的产品和业务,视合作程度、开发运营负责方、资产管辖权等而定,漏洞修复时限无约束。平安集团不可控的业务漏洞不予受理。

平安集团旗下的微信公众号(非移动平安列举范围),且其内容为宣传推广并不涉及业务数据的业务。

非平安集团业务,但平安集团是该业务的用户,原则上不予受理,若漏洞对平安集团影响较大可受理。

集团业务

除边缘业务外,属于平安集团旗下的所有业务,集团业务包含官网宣传业务。

(4) 评级评分表:各等级包含的评分标准及漏洞类型(同一等级内漏洞优先级不分先后)例举如下:

风险等级

业务范围

漏洞积分

漏洞示例

严重

官网宣传业务

(4000到5000)*500

1. 直接获取系统权限(服务端权限、客户端权限)的漏洞,包括但不限于任意代码执行、任意命令执行、上传Webshell并可执行等;

(3000到4000)*500

2.   生产业务系统严重的逻辑设计缺陷,包括但不限于账户、支付方面的安全问题,如任意账号登录、任意账号密码修改、任意账号资金消费、支付交易方面的严重问题;

3. 通过SQL注入获取系统权限。

4. 移动端:远程代码执行,严重的信息泄露(支付相关信息如卡号,有效期)等;

5. PC端:可利用的远程代码执行漏洞,包含但不限于堆栈溢出、UAF、逻辑错误导致的漏洞等;

高危

集团业务

(1000到2500)*500

  1.  高风险的信息泄露漏洞,包括但不限于DB的SQL注入漏洞,泄露用户账户支付相关信息泄露,核心功能的源代码泄露(含算法,重要业务逻辑等),泄露用户隐私信息,服务器敏感信息的日志文件下载等;

 2.  影响应用正常运转,造成不良影响的漏洞,包括但不限于应用层拒绝服务等;

 3.  越权访问,包括但不仅限于绕过认证直接访问管理后台可操作,应用非授权访问、应用后台弱密码等;

 4.  平行权限,包括但不仅限于能够访问其他用户敏感信息(包括用户资料信息和订单/保单信息)、针对非当前登录用户的越权操作等;

 5.  移动端:有资金或虚拟货币交易类应用未正确校验https证书(其他应用类型未正确校验https证书,根据业务范围评级中低或无影响),第三方应用跨应用调用移动客户端的功能完成一些高危操作(如文件读写,短信读写,客户端自身数据读写等),高风险的信息泄露(参照第1条)等;

 6.  PC端:本地任意代码执行,包含但不限于可利用的DLL劫持、堆栈溢出、UAF、本地提权等;

中危

集团业务

(400到800)*500

  1.  普通信息泄露,包括但不限于客户端明文存储密码、包含服务器或数据库敏感信息的源代码压缩包下载等

  2.  弱验证机制引发的漏洞,包括但不限于可暴力破解的加密方式、未做访问次数限制的业务相关接口,帐户相关暴力破解且成功获取帐户信息等。

  3.  需交互才能获取用户身份信息的漏洞,包括但不限于敏感操作的CSRF,json hijacking、可造成严重危害的存储型XSS等

  4.  移动端:普通的信息泄露(参见第1条)等

  5.  PC端:远程拒绝服务,普通的信息泄露等

边缘

(200到400)*500

低危

集团业务

(100到200)*500

 1.  可被利用于钓鱼攻击的漏洞,包括但不限于URL重定向漏洞等

 2.  提供poc但难以利用的安全隐患。包括但不限于可能引起传播的self-xss、不能引起较大危害的存储型XSS(包括仅自己可见的存储型XSS)、反射型XSS(包括反射型DOM-XSS,Flash型XSS)等

 3.  移动端:本地拒绝服务(包含但不限于Android组件权限导致的拒绝服务),轻微的信息泄露等

 4.  PC端:轻微的信息泄露等

边缘

50*500

无危害

所有

(0到20)*500

  1.  不涉及安全问题的BUG,包括但不限于产品功能缺陷、页面乱码、样式问题

  2.  无法利用的漏洞,包括但不限于难以利用的self-xss、非敏感操作的CSRF、无敏感信息的json hijacking、无意义的源码泄露、内网ip地址/域名泄露、后台信息泄漏、路径信息泄露、TFS信息泄露、网站路径泄露等等

  3.  不能重现的漏洞,包括但不仅限于PSRC工作人员确认无法重现的漏洞

  4.  移动端:无意义的打印等

  5.  PC端:无利用价值的Crash等

*严重漏洞仅限官网宣传业务可评。

*边缘业务最高评级为中危。

*漏洞示例类型是严重,但业务不在官网宣传业务中,降级到高危。

*集团业务评级高、中、低风险的,若业务在官网宣传业务中有列举的评分相对偏高,反之偏低。

(5)漏洞评审特殊说明

1)   漏洞重复或类似:

*  在PSRC站点提交相同漏洞,第一个报告者得积分,后续报告者不得积分;

* 在其他漏洞平台已经提交过的漏洞,同一个人或其他人再提交到PSRC的漏洞忽略处理;

* 同一个漏洞源产生的多个漏洞一般计漏洞数量为一个。例如同一个JS引起的多个XSS漏洞、底层框架框架导致的整站平行权限和存储型XSS漏洞、同一个url多个参数SQL注入或其他漏洞的相同问题等;

*相同业务的同一个功能处的添加、编辑、删除等操作都出现同类型漏洞(例如平行权限)时,请按同一漏洞提交,若提交多个漏洞,第一个漏洞正常评分,相似漏洞降级和降低积分;

2漏洞报告者在PSRC宣布修复后,复查漏洞时如果发现漏洞仍然存在或未修复好,再次提单反馈漏洞后,可当作新漏洞继续计分;

3)  对内部已经发现并在修复的漏洞,做忽略处理,PSRC审核员不会随意忽略外部安全人士提交的漏洞。

4)   所有漏洞需提供相关域名或详细URL、poc代码或截图或视频等,经过验证切实可用并造成相应危害的才计分;您提交漏洞报告的规范性可能会影响最终评分,漏洞证明清晰的适当加分,反之减分。

PSRC保留对以上规则的解释权。


4   奖励发放原则

(1)常规奖励

常规奖励是对单个漏洞进行的奖励,奖品为平安万里通积分。平安万里通积分当钱花!

特别提醒,平安万里通积分具有有效期,默认有效期为2年,过期作废,过期前万里通会有短信提醒,敬请关注,避免积分过期造成的损失。

(2)特殊奖励

月度奖:为了鼓励漏洞报告者提交高质量漏洞,PSRC每月单独设置4名获奖者,奖励标准将依据漏洞等级高低而定,规则如下:

当月提交的漏洞中,入围条件当月必须提交有效至少一个高危漏洞,按严重、高危、中危排序,严重漏洞数多者排名优先,依此类推。各等级漏洞数量相同则排名一致。

每月4名获奖者,总奖金2万人民币(等值万里通积分)。

第一名

10000

第二名

5000

第三名

3000

第四名

2000

当月排名一致均分相应名次所得奖金。

年度奖励:年度奖励排名规则同月度,漏洞评选的时间范围为2017年,奖金和获奖名额敬请期待!

团队奖励:筹划中!

(3)  特别提醒

对平安集团员工,负责安全的专业人员提交自己所负责专业公司或分公司的安全漏洞不予奖励,集团性质的安全组织人员禁止在PSRC上提交漏洞兑换奖励。


5   争议解决办法

在漏洞处理过程中,如果报告者对处理流程、漏洞评定、漏洞评分等具有异议的,请通过QQ群(112531831,加群注明PSRC昵称)或邮箱(pub_sec@pingan.com.cn)与我们联系。平安集团安全应急响应中心将根据漏洞报告者利益优先的原则进行处理,必要时可引入外部人士共同裁定。

 

欢迎社会各界向我们反馈平安集团所有产品和业务的安全问题,更多信息可见报告漏洞