[PSRC-A-20160050] PSRC漏洞评分标准3.0

编号:
PSRC-A-20160050
作者:
PSRC
发布日期:
2019-01-31
阅读量:
4532

 

         平安外部漏洞处理规则



编写人

平安安全应急响应中心(PSRC

版本号

V3.0

最后更新时间

2019-01-24

适用范围

适用于PSRC平台(security.pingan.com)所收到的漏洞

修订记录

V1.0  2015-07-01 发布第一版

V1.1  2015-08-04 更新评分标准

V1.2  2016-05-06 更新奖励发放细则,提升奖励力度

V2.0  2017-01-12 更新评分标准;提升奖励力度

V3.0  2019-01-24 更新评分标准,更新奖励方式和FAQ

实施日期

2019-02-01

致谢

感谢所有对本规则给予建议的安全专家。如果您对本流程有任何建议,欢迎emailpub_sec@pingan.com.cn,建议一经采纳,PSRC将会送出专属礼品。

 


一、       基本原则



1)  平安集团非常重视自身产品和业务的安全问题,我们承诺,每一位报告者反馈的问题都有专人进行跟进、分析和处理,并及时给予答复,尊重并感谢每一位安全专家的付出。

2)  平安集团支持负责任的漏洞披露和处理过程,我们承诺,对于每位恪守“白帽子精神”,保护用户利益,帮助平安提升安全质量的白帽子,我们会给予感谢和回馈。

3)  平安集团严禁一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取或篡改用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞、暗藏木马后门不完整上报等。

4)  平安集团严禁一切利用安全漏洞恐吓用户、攻击竞争对手的行为。

5)  提交到PSRC的漏洞禁止以任何形式公开,禁止重复提交到其它第三方漏洞平台,一经发现取消此用户漏洞奖励和其他各种特殊奖励。

6)  平安集团认为每个安全漏洞的处理和整个安全行业的进步,都离不开业界各方的共同合作。希望企业、安全公司、安全组织和安全研究者一起加入到“负责任的漏洞披露”过程中来,一起为建设安全健康的互联网环境而努力。

 

二、       漏洞反馈与处理流程


【准备阶段】

漏洞报告者请先通过http://security.pingan.com/submit跳转注册平安一帐通账号,PSRC要求安全人士必须实名注册,然后用一帐通账号登录PSRC

【报告阶段】

漏洞报告者登录PSRChttp://security.pingan.com/,提交漏洞(状态:待审核)。

【处理阶段】

1) 一个工作日内,PSRC工作人员会确认收到漏洞报告并开始评估问题(状态:审核中);

2) 五个工作日内,PSRC工作人员处理问题、给出结论,漏洞确认后五个工作内给出结论并评分(状态:已确认/已忽略)。必要时与报告者沟通确认,请报告者予以协助。

【修复阶段】

1) 业务部门修复漏洞并安排更新上线(状态:已修复)。修复时间根据问题的严重程度及修复难度而定,APP客户端漏洞受版本发布限制,修复时间根据实际情况确定;

2) 漏洞报告者复查漏洞(状态:已复查/复查异议)。

【完成阶段】

PSRC完成漏洞处理后,更新漏洞处理状态,漏洞报告者可见更新状态。报告者可通过漏洞积分在PSRC平台兑换现金。


三、       安全漏洞评分标准


安全漏洞评分由PSRC结合利用场景中漏洞的严重程度、利用难度、业务范围等综合因素给予相应的漏洞积分,500积分等于1元人民币。依据漏洞危害程度,漏洞等级分为严重、高、中、低、无影响五个等级。

业务范围

官网宣传业务

网站地图(http://www.pingan.com/homepage/sitemap.html

移动平安(http://www.pingan.com/mobile/index.shtml)含APP、移动网站和微信公众号

*其中已经声明下线的业务除外

边缘业务

平安集团的测试和开发环境的业务。

与平安集团有合作的产品和业务,视合作程度、开发运营负责方、资产管辖权等而定,漏洞修复时限无约束。平安集团不可控的业务漏洞不予受理。

平安集团旗下的微信公众号(非移动平安列举范围),且其内容为宣传推广并不涉及业务数据的业务。

非平安集团业务,但平安集团是该业务的用户,原则上不予受理,若漏洞对平安集团影响较大可受理。

集团业务

除边缘业务外,属于平安集团旗下的所有业务,集团业务包含官网宣传业务。

 

 

评级评分表

 各等级包含的评分标准及漏洞类型(同一等级内漏洞优先级不分先后)列举如下:

风险等级

业务范围

漏洞积分

漏洞示例

官网宣传业务

30015000*500

 

1.直接获取系统权限(服务端权限、客户端权限)的漏洞,包括但不限于任意代码执行、任意命令执行、上传Webshell并可执行等;

2.生产业务系统严重的逻辑设计缺陷,包括但不限于账户、支付方面的安全问题,如任意账号登录、任意账号密码修改、任意账号资金消费、支付交易方面的严重问题;

3.通过SQL注入获取系统权限。

4.移动端:远程代码执行,严重的信息泄露(支付相关信息如卡号,有效期)等;

5.PC端:可利用的远程代码执行漏洞,包含但不限于堆栈溢出、UAF、逻辑错误导致的漏洞等;

集团业务

10003000*500

1.高风险的信息泄露漏洞,包括但不限于DBSQL注入漏洞,泄露用户账户支付相关信息泄露,核心功能的源代码泄露(含算法,重要业务逻辑等),泄露用户隐私信息,服务器敏感信息的日志文件下载等;

2.影响应用正常运转,造成不良影响的漏洞,包括但不限于应用层拒绝服务等;

3.越权访问,包括但不仅限于绕过认证直接访问管理后台可操作,应用非授权访问、应用后台弱密码等;

4.平行权限,包括但不仅限于能够访问其他用户敏感信息(包括用户资料信息和订单/保单信息)、针对非当前登录用户的越权操作等;

5.移动端:有资金或虚拟货币交易类应用未正确校验https证书(其他应用类型未正确校验https证书,根据业务范围评级中低或无影响),第三方应用跨应用调用移动客户端的功能完成一些高危操作(如文件读写,短信读写,客户端自身数据读写等),高风险的信息泄露(参照第1条)等;

6.PC端:本地任意代码执行,包含但不限于可利用的DLL劫持、堆栈溢出、UAF本地提权等;

集团业务

400800*500

1.普通信息泄露,包括但不限于客户端明文存储密码、包含服务器或数据库敏感信息的源代码压缩包下载等

2.弱验证机制引发的漏洞,包括但不限于可暴力破解的加密方式、未做访问次数限制的业务相关接口,帐户相关暴力破解且成功获取帐户信息等。

3.需交互才能获取用户身份信息的漏洞,包括但不限于敏感操作的CSRFjson hijacking、可造成严重危害的存储型XSS等

4.移动端:普通的信息泄露(参见第1条)等

5.PC端:远程拒绝服务,普通的信息泄露等

边缘

200400*500

集团业务

100200*500

1.可被利用于钓鱼攻击的漏洞,包括但不限于URL重定向漏洞等

2.提供poc但难以利用的安全隐患。包括但不限于可能引起传播的self-xss、不能引起较大危害的存储型XSS(包括仅自己可见的存储型XSS)、反射型XSS(包括反射型DOM-XSSFlashXSS

3.移动端:本地拒绝服务(包含但不限于Android件权限导致的拒绝服务),轻微的信息泄露等

4.PC:轻微的信息泄露等

边缘

50*500

所有

0

1.不涉及安全问题BUG,包括但不限于产品功能缺陷、页面乱码、样式问题

2.无法利用的漏洞,包括但不限于难以利用的self-xss、非敏感操作的CSRF、用户弱口令、无敏感信息的json hijacking、无意义的源码泄露、内网ip地址/域名泄露、后台信息泄漏、路径信息泄露、TFS信息泄露、网站路径泄露、不能解析的任意文件上传等等

3.不能重现的漏洞,包括但不仅限PSRC工作人员确认无法重现的漏洞

4.移动端:无意义的打印等

5.PC端:无利用价值的Crash


*积分:人民币 = 500:1。

*严重漏洞仅限官网宣传业务可评。

*边缘业务最高评级为中危。

*漏洞示例类型是严重,但业务不在官网宣传业务中,降级到高危。

*集团业务评级高、中、低风险的,若业务在官网宣传业务中有列举的评分相对偏高,反之偏低。


评分标准通用原则

1)  漏洞重复或类似:

* PSRC站点提交相同漏洞,第一个报告者得积分,后续报告者不得积分;

* 在其他平台已经提交过的漏洞,同一个人或其他人再提交到PSRC的漏洞忽略处理;

* 同一个漏洞源产生的多个漏洞一般计漏洞数量为一个。例如同一个JS引起的多个XSS漏洞、底层框架框架导致的整站平行权限和存储型XSS漏洞、同一个url多个参数SQL注入或其他漏洞的相同问题等。

* 相同业务的同一个功能处的添加、编辑、删除等操作都出现同类型漏洞(例如平行权限)时,请按同一漏洞提交,若提交多个漏洞,第一个漏洞正常评分,相似漏洞降级和降低积分。

2)  漏洞报告者在PSRC布修复后,复查漏洞时如果发现漏洞仍然存在或未修复好,再次提单反馈漏洞后,可当作新漏洞继续计分;

3)  对内部已经发现并在修复的漏洞,或用扫描器扫出的移动端低危漏洞,包括但不限于Activity组件劫持、未加固/脱壳反编译、Janus签名绕过等,做忽略处理,PSRC审核员不会随意忽略外部安全人士提交的漏洞。

4)  短信轰炸的定义:同一短信接口向同一手机无限制发送短信。使用短信接口不受限制向不同手机发送 1 条短信的问题忽略。

5)  通用型漏洞,如struts、weblogic出现新漏洞,首位附poc报告者得漏洞对应等级最高分,报告时间1个月内其他该漏洞引起的问题忽略处理,报告时间3个月内其他该漏洞引起的问题最高中危处理,3个月后如仍存在该问题则按漏洞对应级别评分。

6)  所有漏洞需提供相关域名或详细URLpoc代码或截图或视频等,经过验证切实可用并造成相应危害的才计分;您提交漏洞报告的规范性可能会影响最终评分,漏洞证明清晰的适当加分,反之减分。

7)  用于测试上传的webshell文件命名必须包含PSRCTEST,测试用webshell不能含有远控、数据传输、文件浏览等功能(建议用print ***),以免造成不必要的麻烦。PSRC对上传真实webshell的漏洞做降级处理。

PSRC保留对以上规则的解释权。


四、       奖励发放原则


【常规奖励】

常规奖励是对单个漏洞进行积分奖励,积分可在PSRC平台上兑换税后现金,500积分=1元人民币,由PSRC指定第三方负责报税及发放。

兑换时间:白帽子可在每月的最后一个工作日前完成积分兑换,逢节假日等特殊情况会另外公告通知;

处理时间:为保障广大白帽子们的利益,PSRC将于每月的第一个工作日统计上月兑换现金的人员信息,提交打款,逢节假日等特殊情况会另外公告通知。

到账时间:最终金额到账时间以银行为准,请大家耐心等待,感谢理解。

【季度奖励】

为了鼓励漏洞报告者提交高质量漏洞,我们PSRC每季度单独设置4额外特殊贡献奖励,入围条件:当季度必须提交至少一个有效的高危漏洞,如无符合条件者,此奖项可为空,当季度排名一致均分相应名次所得奖金。

奖励标准将依据漏洞等级高低而定,规则如下:

当季度提交的漏洞中,按严重、高危、中危排序,严重漏洞数多者排名优先,依此类推,各等级漏洞数量相同则排名一致。每季度评出4名获奖者,总奖金3人民币,最高可获得一万五千元的额外奖励。我们的季度漏洞奖励如下:

奖项

税后奖励

第一名

15000

第二名

8000

第三名

5000

第四名

2000

*季度奖励金额为税后金额,由PSRC指定第三方负责报税及发放。

【团队奖励】

为感谢各安全白帽子对平安集团安全应急响应中心PSRC)的关注与支持,PSRC推出年度优秀安全团队奖励计划。

PSRC年度优秀团队奖励计划,具体如下:

团队等级

白银

黄金

铂金

钻石

积分总数

20000*500

60000*500

120000*500

200000*500

团队人数

3

5

5

5

高危漏洞数

6

10

15

20

荣誉奖励

定制奖杯

定制奖杯

定制奖杯

定制奖杯

1)  以上数据均为年度数据,每年度结算一次,若当年无上榜的安全团队,则奖项自动空缺;

2)  对于“白银”队安全团队称号,需有三名以上队员出现在年度英雄榜,且团队成员提交的漏洞中至少有六个高危漏洞,团队总积分需大10000000

3)  对于“黄金”队安全团队称号,需有五名以上队员出现在年度英雄榜,且团队成员提交的漏洞中至少有十个高危漏洞,团队总积分需大于30000000

4)  对于“铂金”队安全团队称号,需有五名以上队员出现在年度英雄榜,且团队成员提交的漏洞中至少有十五个高危漏洞,团队总积分需大于60000000

5)  对于“钻石”队安全团队称号,需有八名以上队员出现在年度英雄榜,且团队成员提交的漏洞中至少有二十个高危漏洞,团队总积分需大于100000000

6)  每个团队成员如需申请创建/加入/变更PSRC安全团队,需发送团队名称,团队负责人联系方式等信息pub_sec@pingan.com.cn邮箱,PSRC将进行团队审核与分配。一旦加入团队,3个月内不得变更或退出

7)  荣誉奖杯以团队为单位发放(即一个团队一个奖杯),将由PSRC年终颁给队长。

8)  PSRC每个安全团队人数应不超过10人,现团队中,超过10人的,由队长决定拆分成两个或多个队伍。

9)       对于外面已存在的团队名称,PSRC将对团队的所有权持谨慎态度,原则上需要相关团队leader授权,最终解释权归PSRC所有。


五、       特别提醒


对平安集团员工,负责安全的专业人员提交自己所负责专业公司或分公司的安全漏洞不予奖励,集团性质的安全组织人员禁止在PSRC上提交漏洞兑换奖励。平安员工不参与PSRC年度、季度奖励评选。

争议解决办法

在漏洞处理过程中,如果报告者对处理流程、漏洞评定、漏洞评分等具有异议的,请通过QQ群(112531831,加群注明PSRC昵称)或邮箱(pub_sec@pingan.com.cn)与我们联系。平安集团安全应急响应中心将根据漏洞报告者利益优先的原则进行处理,必要时可引入外部人士共同裁定

FAQ

QPSRC奖励以何种形式发放?

A PSRC采用积分计量单位,500积分等于1元人民币,可通过PSRC“礼品兑换”处将漏洞积分兑换成现金,兑换的现金为税后现金,由PSRC指定第三方负责报税及发放

QPSRC上积分兑换的现金多久可以到账?

A为保障广大白帽子们的利益,PSRC将于每月的第一个工作日统计上月兑换现金的个人信息,提交打款。最终金额到账时间以银行为准,请大家耐心等待,感谢理解。

QPSRC有没有先“忽略”漏洞之后偷偷修复情况?

A绝对不会。提交的“漏洞”一旦进入“忽略”状态,审核会在备注中说明具体的忽略理由。当然也有可能由于业务本身的变动导致漏洞不再存在,但无论如何,PSRC都不会“偷偷”修复。

Q:平安哪些业务可以进行安全测试,有哪些问题需特别注意?

A:对平安业务进行安全测试前,请认真阅读《PSRC用户服务协议》。

欢迎社会各界向我们反馈平安集团所有产品和业务的安全问题,更多信息可见报告漏洞