[PSRC-A-20160069] PSRC漏洞评分标准4.0

编号:
PSRC-A-20160069
作者:
平安 安全应急响应中心
发布日期:
2020-05-11
阅读量:
2966

平安外部威胁情报处理规则

 

编写人

平安安全应急响应中心(PSRC)

版本号

V4.0

最后更新时间

2020-02-24

适用范围

适用于PSRC平台(security.pingan.com)所收到的威胁情报

修订记录

V1.0  2015-07-01 发布第一版

V1.1  2015-08-04 更新评分标准

V1.2  2016-05-06 更新奖励发放细则,提升奖励力度

V2.0  2017-01-12 更新评分标准;提升奖励力度

V3.0  2019-01-24 新增和更新评分范围及标准,新增FAQ

V4.0  2020-02-13 新增威胁情报处理规则

实施日期

2020-03-01

 

基本原则

1)  平安集团非常重视自身产品和业务的安全问题,我们承诺,每一位报告者反馈的问题都有专人进行跟进、分析和处理,并及时给予答复。

2)  平安集团支持负责任的漏洞披露和处理过程,我们承诺,对于每位恪守“白帽子精神”,保护用户利益,帮助平安提升安全质量的白帽子,我们会给予感谢和回馈。

3)  平安集团严禁一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取或篡改用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞、暗藏木马后门不完整上报等。

4)  平安集团严禁一切利用安全漏洞恐吓用户、攻击竞争对手的行为。

5)  提交到PSRC的漏洞禁止以任何形式公开,禁止重复提交到其它第三方漏洞平台,一经发现取消此用户漏洞奖励和其他各种特殊奖励。

6)  平安集团认为每个安全漏洞的处理和整个安全行业的进步,都离不开业界各方的共同合作。希望企业、安全公司、安全组织和安全研究者一起加入到“负责任的漏洞披露”过程中来,一起为建设安全健康的互联网环境而努力。

威胁情报反馈与处理流程

【准备阶段】

漏洞报告者请先通过http://security.pingan.com/submit跳转注册平安一帐通账号,PSRC要求安全人士必须实名注册,然后用一帐通账号登录PSRC并完善个人信息。

【报告阶段】

威胁情报报告者登录PSRC(http://security.pingan.com/),提交威胁情报(状态:待审核)。

【处理阶段】

1) 一个工作日内,PSRC工作人员会确认收到漏洞报告并开始评估问题(状态:审核中);

2) 五个工作日内,PSRC工作人员处理问题、给出结论,漏洞确认后五个工作内给出结论并评分(状态:已确认/已忽略)。必要时与报告者沟通确认,请报告者予以协助。

【修复阶段】

1) 业务部门修复漏洞并安排更新上线(状态:已修复)。修复时间根据问题的严重程度及修复难度而定,APP客户端漏洞受版本发布限制,修复时间根据实际情况确定;

2) 漏洞报告者复查漏洞(状态:已复查/复查异议)。

【完成阶段】

PSRC完成漏洞处理后,更新漏洞处理状态,漏洞报告者可见更新状态。报告者可通过漏洞奖金在PSRC平台个人中心处兑换现金

评分标准

PSRC威胁情报主要包含两大部分的内容:业务漏洞和安全情报。下面分别说明其评分标准。

业务漏洞评分标准

安全漏洞评分由PSRC结合利用场景中漏洞的严重程度、利用难度、业务范围等综合因素给予相应的漏洞积分(500积分等于1元人民币)。依据漏洞危害程度,漏洞等级分为严重、高、中、低、无影响五个等级。

业务范围

 

官网宣传业务

网站地图(http://www.pingan.com/homepage/sitemap.html

移动平安(http://www.pingan.com/mobile/index.shtml)含APP、移动网站和微信公众号

*其中已经声明下线的业务除外

边缘业务

平安集团的测试和开发环境的业务。

与平安集团有合作的产品和业务,视合作程度、开发运营负责方、资产管辖权等而定,漏洞修复时限无约束。平安集团不可控的业务漏洞不予受理。

平安集团旗下的微信公众号(非移动平安列举范围),且其内容为宣传推广并不涉及业务数据的业务。

非平安集团业务,但平安集团是该业务的用户,原则上不予受理,若漏洞对平安集团影响较大可受理。

集团业务

除边缘业务外,属于平安集团旗下的所有业务,集团业务包含官网宣传业务。

 

评级评分表:各等级包含的评分标准及漏洞类型(同一等级内漏洞优先级不分先后)例举如下:

 




风险等级

业务范围

漏洞奖励(元)

漏洞示例

 

官网宣传业务

3001-5000

1.  直接获取系统权限(服务端权限、客户端权限)的漏洞,包括但不限于任意代码执行、任意命令执行、上传Webshell并可执行等;

2.  生产业务系统严重的逻辑设计缺陷,包括但不限于账户、支付方面的安全问题,如任意账号登录、任意账号密码修改、任意账号资金消费、支付交易方面的严重问题;

3.  通过SQL注入获取系统权限。

4.  移动端:远程代码执行,严重的信息泄露(支付相关信息如卡号,有效期)等

5.  PC端:可利用的远程代码执行漏洞,包含但不限于堆栈溢出、UAF、逻辑错误导致的漏洞等;

集团业务

1000-3000

1.  高风险的信息泄露漏洞,包括但不限于DB的SQL注入漏洞,泄露用户账户支付相关信息泄露,核心功能的源代码泄露(含算法,重要业务逻辑等),泄露用户隐私信息,服务器敏感信息的日志文件下载等;

2.  影响应用正常运转,造成不良影响的漏洞,包括但不限于应用层拒绝服务等;

3.  越权访问,包括但不仅限于绕过认证直接访问管理后台可操作,应用非授权访问、应用后台弱密码等;

4.  平行权限,包括但不仅限于能够访问其他用户敏感信息(包括用户资料信息和订单/保单信息)、针对非当前登录用户的越权操作等;

5.  移动端:能够远程获取大量用户敏感信息的漏洞,需安装App在新版安卓环境下的应用克隆漏洞,绕过权限控制,需安装App才能读取用户敏感隐私数据类漏洞,第三方应用跨应用调用移动客户端的功能完成一些高危操作(如文件读写,短信读写,客户端自身数据读写等),高风险的信息泄露(参照第1条)等;

6.  PC端:本地任意代码执行,包含但不限于可利用的DLL劫持、堆栈溢出、UAF、本地提权等

集团业务

400-800

1.  普通信息泄露,包括但不限于客户端明文存储密码、包含服务器或数据库敏感信息的源代码压缩包下载等

2.  弱验证机制引发的漏洞,包括但不限于可暴力破解的加密方式、未做访问次数限制的业务相关接口,帐户相关暴力破解且成功获取帐户信息等。

3.  需交互才能获取用户身份信息的漏洞,包括但不限于敏感操作的CSRF,json hijacking、可造成严重危害的存储型XSS等

4.  移动端:有资金或虚拟货币交易类应用未正确校验https证书(其他应用类型未正确校验https证书,根据业务范围评级低或无影响)需安装 app 才能造成系统重启或部分功能拒绝服务等漏洞,需要安装 app 读取用户敏感信息类漏洞,需安装App在较旧版本造成app克隆类漏洞,普通的信息泄露(参见第1条)等

5.  PC端:远程拒绝服务,普通的信息泄露等

边缘

200-400

集团业务

100-200

1.  可被利用于钓鱼攻击的漏洞,包括但不限于URL重定向漏洞等

2.  提供poc但难以利用的安全隐患。包括但不限于可能引起传播的self-xss、不能引起较大危害的存储型XSS(包括仅自己可见的存储型XSS)、反射型XSS(包括反射型DOM-XSS,Flash型XSS)等

3.  移动端:App 的不安全配置,需要复杂的环境和条件才能触发的漏洞,特定场景且需要用户配合才能造成的安全漏洞, 轻微的信息泄露等

4.  PC端:轻微的信息泄露等

边缘

50

所有

0

1.  不涉及安全问题的BUG,包括但不限于产品功能缺陷、页面乱码、样式问题

2.  无法利用的漏洞,包括但不限于难以利用的self-xss、非敏感操作的CSRF、用户弱口令、无敏感信息的json hijacking、无意义的源码泄露、内网ip地址/域名泄露、后台信息泄漏、路径信息泄露、TFS信息泄露、网站路径泄露、不能解析的任意文件上传等等

3.  不能重现的漏洞,包括但不仅限于PSRC工作人员确认无法重现的漏洞

4.  移动端:

① 不涉及安全问题的bug。包括但不限于产品功能缺陷、页面乱码、样式混编、静态文件目录遍历、应用兼容性等问题等。

② 无实际意义的漏洞。 包括但不限于无意义的打印,没有实际意义的扫描器漏洞报告(如:硬编码、无混淆,Activity组件劫持、未加固/脱壳反编译、Janus签名绕过等)

③ 实际业务需要配置的有风险的权限但是无法利用的漏洞。

④ 无法重现的漏洞、不涉及敏感信息的信息泄露、不能直接体现漏洞的其他问题。包括但不限于纯属用户猜测的问题。 

5.  PC端:无利用价值的Crash等



*边缘业务最高评级为中危。
*
严重漏洞仅限官网宣传业务可评。

*漏洞示例类型是严重,但业务不在官网宣传业务中,降级到高危。

*集团业务评级高、中、低风险的,若业务在官网宣传业务中有列举的评分相对偏高,反之偏低。

安全情报评分标准

 

安全情报是指平安的产品和业务漏洞相关的情报,包括但不限于漏洞线索、攻击线索、攻击者相关信息、攻击方式、攻击技术、造成危害等。由于情报分析调查的时间较长,因此确认周期相比漏洞的时长较长,请耐心等待

 

情报奖励标准

安全情报评分由PSRC结合业务等级、实际影响和情报线索完整度等综合因素给予相应的情报奖金。依据情报危害程度,情报等级分为严重、高、中、低。

漏洞等级

漏洞奖励(元)

情报示例

严重

3000-5000

1、针对官宣业务系统的的入侵情报,如核心服务器的入侵且提供了入侵方式等相关线索。

2、重要业务数据库被拖取且提供了数据库名或数据库 文件等相关线索。

3、对核心业务造成重大影响的威胁组织活动情报。

高危

1000-2500

1、对非官宣系统的入侵情报,能够帮助PSRC对入侵事件溯源分析、定位攻击者身份。

2、对有组织有计划的骗保、骗贷等行为提供相关线索。

3、对利用业务规则缺陷大规模低价购买行为等事件提供相关切实线索。

4、核心代码仓库源代码泄露,如:泄露核心系统完整代码,可外网连接的数据库账号密码等

中危

200-800

1、针对平安集团的新型攻击技术、工具及平台等。如:漏洞利用工具等。

2、一般风险的业务安全问题。如营销活动作弊、业务规则绕过。

3、对有针对性的刷积分、作弊、绕过现有认证或者流程的事件提供相关线索。

低危

50-200

1、平安集团核心业务相关的钓鱼网站。

2、平安集团核心业务仿冒APP。

3、普通代码仓库源代码泄露,如少量敏感信息泄露、部分可利用接口代码、测试环境代码等。

无危害

0

1、不能证实、或人为制造的等虚假或无效威胁情报。

2、PSRC已知或不具实效性的威胁情报。

3、提交可能薅羊毛、套现的QQ群号,且未提供其他有效信息。

 

情报收集范围

一、技术情报(包括但不限于

1)  系统、服务器或设备被入侵且提供了行为方式等相关线索;

2)  重要业务数据库被拖取且提供了数据库详细信息,如数据库名或数据库文件等相关线索;

3)  严重的金融逻辑漏洞,如支付类逻辑漏洞等相关线索;

4)  新型病毒、木马、蠕虫传播且提供了源链接等相关线索;

5)  能够帮助完善防御系统的新型攻击方式、技术,如新型 WebShell、DDoS 等攻击方式。

6)  代码仓库信息泄露,如github、码云、网盘、文库等

二、业务情报(包括但不限于

1)  对有组织有计划的骗保、骗贷等行为提供相关线索;

2)  对大批量的注册小号、薅羊毛、套现等行为提供相关线索;

3)  对利用业务规则缺陷大规模低价购买行为等事件提供相关线索;

4)  对有针对性的刷积分、作弊、绕过现有认证或者流程的事件提供相关线索

三、无效情报(包括但不限于

无效情报是指错误、无意义或根据现有信息无法调查利用的威胁情报

1)  提交已发现或失效的情报;

2)  提交虚假捏造或人为制造的情报信息;

3)  提交可能薅羊毛、套现的QQ群号,且未提供其他有效信息的;

4)  提交接码群、羊毛群群主的截图和售卖的羊毛工具,但未切身证实可利用的。

威胁情报提交者应在报告中对情报真实性作出证明,未能主动证明真实性的情报将按照无效情报处理。

 

 

情报报告标准

 

情报报告的完整性对情报的价值体现有着重要的影响,情报线索清晰、完整有助于工作人员快速定位、验证和跟踪威胁情报。上报情报时,请参考如下标准:

情报标题

简单扼要概括情报内容

情报来源

声明情报来源,如社交群、论坛、网站等并提供相关链接及截图证明

情报内容

何种人群在何时何地出于何种目的通过何种行为对何种业务造成何种危害或损失,如威胁情报组织信息、造成威胁的手段方法、情报涉及的系统和业务信息等并提供相关截图证明

数据证明

提供情报相关数据真实性证明,如10-20条相关数据样本、攻击代码、攻击工具、危害证明截图等

评分标准通用原则

 

1)  威胁情报重复或类似:

在PSRC站点提交相同威胁情报,第一个报告者获得奖励,后续报告者不得奖励;

在其他平台已经提交过的威胁情报,同一个人或其他人再提交到PSRC的威胁情报忽略处理;

同一个漏洞源产生的多个漏洞一般计漏洞数量为一个。例如同一个JS引起的多个XSS漏洞、底层框架框架导致的整站平行权限和存储型XSS漏洞、同一个url多个参数SQL注入或其他漏洞的相同问题等。

相同业务的同一个功能处的添加、编辑、删除等操作都出现同类型威胁情报(例如平行权限)时,请按同一威胁情报提交,若提交多个威胁情报,第一个威胁情报正常评分,相似威胁情报降级和降低奖励。

2)  对内部已经发现并在处理的威胁情报,做忽略处理,PSRC审核员不会随意忽略外部安全人士提交的威胁情报。

3)  威胁情报报告者在PSRC宣布修复后,复查威胁情报时如果发现威胁情报仍然存在或未修复好,再次提单反馈威胁情报后,可当作新威胁情报继续计分;

4)  所有威胁情报需提供相关来源和数据证明,提供相关域名或详细URLpoc代码或截图或视频等,经过验证切实可用并造成相应危害的才计分;您提交威胁情报报告的规范性可能会影响最终评分,威胁情报证明清晰的适当加分,反之减分。

5)  涉及到与平安集团安全的情报,在情报未处理完成前公开的,不计分;

6)  通用型漏洞,如struts、weblogic出现新漏洞,首位附poc报告者得漏洞对应等级最高分,报告时间1个月内其他该漏洞引起的问题忽略处理,报告时间3个月内其他该漏洞引起的问题最高中危处理,3个月后如仍存在该问题则按漏洞对应级别评分。

7)  用于测试上传的webshell文件命名必须包含PSRCTEST,测试用webshell不能含有远控、数据传输、文件浏览等功能(建议用print ***),以免造成不必要的麻烦。PSRC对上传真实webshell的漏洞做降级处理。

8)  评分标准仅适用于可威胁到平安集团产品和业务相关的情报。与平安集团完全无关的情报将不收取。

PSRC保留对以上规则的解释权。

奖励发放原则

 

常规奖励

常规奖励是对单个漏洞进行现金奖励,由PSRC指定第三方负责报税及发放。

兑换时间:白帽子可在每月的最后一个工作日前完成现金兑换,逢节假日等特殊情况会另外公告通知;

处理时间:为保障广大白帽子们的利益,PSRC将于每月的第一个工作日统计上月兑换现金的人员信息,提交打款,逢节假日等特殊情况会另外公告通知。

到账时间:最终金额到账时间以银行为准,请大家耐心等待,感谢理解。

季度奖励

为了鼓励漏洞报告者提交高质量漏洞,我们PSRC每季度单独设置4个额外特殊贡献奖励,入围条件:当季度必须提交至少一个有效的高危漏洞,如无符合条件者,此奖项可为空,当季度排名一致均分相应名次所得奖金。

奖励标准将依据漏洞等级高低而定,规则如下:

当季度提交的漏洞中,按严重、高危、中危排序,严重漏洞数多者排名优先,依此类推,各等级漏洞数量相同则排名一致。每季度评出4名获奖者,总奖金3万人民币,最高可获得一万五千元的额外奖励。我们的季度漏洞奖励如下:

奖项

奖励

第一名

15000

第二名

8000

第三名

5000

第四名

2000


*
季度奖励金额为税后金额,由PSRC指定第三方负责报税及发放。

团队奖励

为感谢各安全白帽子对平安集团安全应急响应中心(PSRC)的关注与支持,PSRC决定推出年度优秀安全团队奖励计划。

PSRC年度优秀团队奖励计划,具体如下:

团队等级

白银

黄金

铂金

钻石

积分总数

≥20000*500

≥60000*500

≥120000*500

≥200000*500

团队人数

≥ 3

≥ 5

≥ 5

≥ 5

高危漏洞数

≥ 6

≥ 10

≥ 15

≥ 20

荣誉奖励

定制奖杯

定制奖杯

定制奖杯

定制奖杯

 

1)  以上数据均为年度数据,每年度结算一次,若当年无上榜的安全团队,则奖项自动空缺

2)  对于“白银”队安全团队称号,需有三名以上队员出现在年度英雄榜,且团队成员提交的漏洞中至少有六个高危漏洞,团队总积分需大于10000000;

3)  对于“黄金”队安全团队称号,需有五名以上队员出现在年度英雄榜,且团队成员提交的漏洞中至少有十个高危漏洞,团队总积分需大于30000000;

4)  对于“铂金”队安全团队称号,需有五名以上队员出现在年度英雄榜,且团队成员提交的漏洞中至少有十五个高危漏洞,团队总积分需大于60000000;

5)  对于“钻石”队安全团队称号,需有八名以上队员出现在年度英雄榜,且团队成员提交的漏洞中至少有二十个高危漏洞,团队总积分需大于100000000;

6)  每个团队成员如需申请创建/加入/变更PSRC安全团队,需发送团队名称,团队负责人联系方式等信息到pub_sec@pingan.com.cn邮箱,PSRC将进行团队审核与分配。一旦加入团队,3个月内不得变更或退出。

7)  荣誉奖杯以团队为单位发放(即一个团队一个奖杯),将由PSRC年终颁给队长。

8)  PSRC每个安全团队人数应不超过10人,现团队中,超过10人的,由队长决定拆分成两个或多个队伍。

9)  对于外面已存在的团队名称,PSRC将对团队的所有权持谨慎态度,原则上需要相关团队leader授权,最终解释权归PSRC所有。

特别提醒

 

对平安集团员工,负责安全的专业人员提交自己所负责专业公司或分公司的安全漏洞不予奖励,集团性质的安全组织人员禁止在PSRC上提交漏洞兑换奖励。平安员工不参与PSRC年度、季度奖励评选。

 

争议解决办法

在漏洞处理过程中,如果报告者对处理流程、漏洞评定、漏洞评分等具有异议的,请通过QQ群(112531831,加群注明PSRC昵称)或邮箱(pub_sec@pingan.com.cn)与我们联系。平安集团安全应急响应中心将根据漏洞报告者利益优先的原则进行处理,必要时可引入外部人士共同裁定。

FAQ

Q:PSRC上奖金兑换的现金多久可以到账? 

A:为保障广大白帽子们的利益,PSRC将于每月的第一个工作日统计上月兑换现金的个人信息,提交打款。最终金额到账时间以银行为准,请大家耐心等待,感谢理解。

Q:PSRC有没有先“忽略”漏洞之后偷偷修复情况?

A:绝对不会。提交的“漏洞”一旦进入“忽略”状态,审核会在备注中说明具体的忽略理由。当然也有可能由于业务本身的变动导致漏洞不再存在,但无论如何,PSRC都不会“偷偷”修复。

Q:平安哪些业务可以进行安全测试,有哪些问题需特别注意

A:对平安业务进行安全测试前,请认真阅读《PSRC用户服务协议》。

欢迎社会各界向我们反馈平安集团所有产品和业务的安全问题,更多信息可见报告漏洞