《爱奇艺安全应急响应中心漏洞评分标准2021》来了!
发行版本
V3.0
本文件适用范围
1.适用于爱奇艺安全应急响应中心(https://security.iqiyi.com/)收到的所有涉及爱奇艺的产品和业务的安全漏洞;
2.爱奇艺安全应急响应中心下文简称为: 71SRC;
3.本文件适用于所有有关爱奇艺的产品及服务。
4.本标准自2021年1月1日起生效。
基本原则
1.爱奇艺非常重视自身产品和业务的安全,我们承诺对每一份报告都有专人进行跟进与评估,并给予白帽子与之匹配的利益;
2.爱奇艺重视负责任的漏洞披露和处理过程,我们承诺对于每位恪守白帽子精神,帮助爱奇艺提升安全的用户,我们将给予感谢和回馈;
3.爱奇艺反对和谴责一切利用安全漏洞进行渗透、破坏、窃取和损害爱奇艺公司及其用户利益的骇客行为,包括但不限于利用漏洞盗取用户隐私、账号、虚拟财产、入侵业务系统、窃取数据、 恶意传播漏洞等。更谴责一切利用安全漏洞进行炒作、恐吓、勒索和攻击竞争对手的行为;
4.如您对本流程有任何建议或疑问,欢迎通过邮箱 [email protected]向我们反馈,我们承诺对每一份反馈都认真对待,及时跟进并分析与处理,建议经采纳后,71SRC将送出一份礼品作为回馈。
漏洞处理流程
1.登录https://security.iqiyi.com/#submit提交漏洞
2.漏洞提交成功后,漏洞单状态为【未审核】
3.71SRC审核确认漏洞有效后,漏洞单状态为【修复中】;如漏洞无影响需忽略或重复提交,71SRC工作人员将与报告者联系或漏洞报告中留言,再将漏洞单状态更改为【已关闭】
4.漏洞确认后,如有疑问请及时与71SRC工作人员联系(可通过在漏洞单评论或发送邮件到[email protected])
5.有效漏洞在修复完成后,漏洞单状态更新为【已关闭】,如白帽子在复测时发现漏洞依然存在,可再次提交。
漏洞评分标准
根据报告的漏洞的危害程度一共分为五个级别:严重、高、中、低、忽略;根据业务等级划分为核心业务、一般业务、边缘业务、合作商,下面详细描述了安全漏洞的评级标准,具体漏洞评判基本及分值以爱奇艺实际评判结果为准。
业务等级划分(包括但不限于*.iqiyi.com、*.iq.com、部分*.pps.tv、部分*.ppstream.com)
1.核心业务:如会员、爱奇艺号、随刻、金融、passport、直播等。
2.一般业务:商城、文学、漫画、儿童、叭嗒、泡泡、知识、阅读、奇异果、海外平台等。
3.边缘业务:游戏、逗芽APP、票务、VR 、天象等。
4.合作商:新爱体育*.ssport.com等(中低危漏洞暂不接收,其他漏洞做降级处理)。
PS:请关注,此项不定期更新
(1金币=3RMB)
等级 |
核心业务 |
一般业务 |
边缘业务 |
合作方 |
漏洞类型(包括但不限于) |
严重 |
300~600 |
1000~3000 |
600~1000 |
降级到高危(100~300) |
1.严重的敏感信息泄露,可影响大量用户,如:获取重要数据的SQL注入漏洞、包含重要信息的源代码泄露已经任意文件读取和下载、可获取大量用户的个人信息等敏感信息; 2.可远程获取核心系统权限,直接危害到内网,如: 任意命令执行、代码执行、任意文件上传获取webshell、可利用的缓冲区溢出等; 3.严重的逻辑设计缺陷,如:任意账号密码修改、支付绕过漏洞、以任意人身份执行敏感操作等。 |
高危 |
400~600 |
200~400 |
100~200 |
降级到中危或低危(20~100) |
1.较大范围的信息泄露,如:非重要数据的SQL注入、源代码泄露、任意文件读取与下载、SSRF回显内网信息,支持多种协议等; 2.越权访问,具有一定影响面的越权漏洞,如:后台登录弱口令、重要服务弱口令(管理员账号)、越权执行任意人的敏感操作(删除、添加等); 3.较大范围影响用户,如可获取大量用户信息的存储型XSS、CSRF引发的蠕虫等; 4.直接获取客户端敏感信息的漏洞,如弱加密算法引起的敏感信息泄露、通信过程中引起的敏感信息泄露、local- storage处理不当引起的敏感信息泄露等。 |
中危 |
80~100 |
50~80 |
30~50 |
暂不接收 |
1.需用户交互才可获取用户信息,如:jsonp敏感信息劫持、普通存储型XSS、具有较大影响的CSRF等; 2.本地拒绝服务漏洞,如:客户端本地拒绝服务(需用户交互的命令执行、解析文件格式、网络协议产生的崩溃),组件权限导致的本地拒绝服务等; 3.普通越权,如:越权查看非敏感信息、影响较小的设计及流程缺陷; 4.普通信息泄露,如:轻微数据的SQL注入及难以利用的SQL注入、github泄露员工及公司的简单信息、内部服务器数据库密码、客户端明文存储密码、客户端密码明文传输以及web路径遍历、系统路径遍历、包含敏感信息的源代码压缩包泄露。 |
低危 |
20~30 |
10~20 |
5~10 |
暂不接收 |
1.轻微信息泄露,如:重要文件的路径泄露(不包括中间件配置文件)、SVN文件泄露、无敏感信息的异常信息泄露、大量内网服务器ip以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息、异常信息等; 2.任意URL跳转漏洞; 3.有一定影响的CSRF漏洞、反射型XSS(包括DOM-XSS)。 |
忽略 |
0 |
0 |
0 |
0 |
1.无法影响其他用户的漏洞,如self-xss; 2.非安全BUG,如:页面乱码、静态文件下载遍历等; 3.无影响的漏洞,如:接口返回信息中不包含敏感信息、无敏感操作的CSRF、仅dnslog的SSRF等; 4.无法给出漏洞利用证明的漏洞:如仅说明存在cors但未给出危害证明、猜测未给出验证的问题、无实际危害证明的扫描器结果等; 5.内部已知漏洞、重复提交、功能报障等。 |
通用原则及特殊评分标准
1.SSRF漏洞,不区分业务(除合作商外),一律不回显60金币,部分回显100金币,完全回显500金币。
2.XSS漏洞,所有爱奇艺域下的反射型XSS漏洞一律1积分,20金币;所有爱奇艺域下的存储型XSS漏洞一律3积分,90金币。
3.短信轰炸,使用发送短信接口向不同手机号短时间(一般为5分钟)内仅能发送1条短信,将做忽略处理。
4.CSRF漏洞,仅对个人造成轻微影响的CSRF将做忽略处理,如(取消)关注、(取消)收藏等。
5.包括但不限于一个接口的多个参数存在相同漏洞,提倡打包提交,71SRC将会适当提升奖励标准。
6.同一漏洞,首位提交者记分并给予金币奖励,其他提交者按“重复提交”处理。
7.未经爱奇艺SRC方书面授权(需发送申请邮件到[email protected]授权),所有漏洞不得向外公开。
8.漏洞报告中请详细说明漏洞影响对象(如漏洞触发位置)、漏洞验证POC、漏洞危害证明(点到为止)。
9.对于与爱奇艺有合作的第三方业务或者历史遗留业务,漏洞对爱奇艺业务有影响的不论漏洞严重性和数量,都将降级处理。
10.由同一个漏洞源引起的多个漏洞只算做一个漏洞,如多个业务用到一个存在漏洞JS文件、框架以及模板导致的整站的安全漏洞。
11.通用型漏洞 如 WordPress、Discuz等开源程序、Flash 漏洞、第三方组件、开源中间件等漏洞,第一个提交者计分,其他提交者均不计分。
12.漏洞报告者在复查漏洞时(相同漏洞已更新漏洞单状态为【已关闭】后)如果漏洞依旧存在,可重新提交漏洞报告,将按新漏洞计分。
13.网上已经公开的以及在其他平台提交过的漏洞不作计分。
14.白帽子不得采用任何形式的社会工程学方法来获取爱奇艺的数据,否则因此造成爱奇艺损失的,应承担赔偿责任。
15.所有评判标准的最终解释权归71SRC所有。
16.其他测试规范可查看:SRC行业安全测试规范。
争议解决办法
在漏洞报告处理过程中,如果报告人员对处理流程、漏洞定级、漏洞评分等有任何异议的,可以发送详情到邮件 [email protected],我们将会有专门的工作人员与您联系。
奖励发放原则
1.奖励以礼品形式使用金币(71SRC的一种虚拟货币,1金币=3RMB)兑换,兑换地址:https://security.iqiyi.com/#gifts
2.多个漏洞产生的金币可累加,除非特别声明,未使用的金币不会过期,奖品上架时有数量限制,当期上架礼品被兑换完后不再接受兑换。
3.虚拟礼品会在每周的最后一个工作日通过和提交者沟通的形式发送。
4.实体礼品每周的最后一个工作日邮寄,邮寄后将在SRC平台更新快递单号。
5.如因漏洞提交者未能及时完善资料导致的延误,将顺延至下一周批量寄送时寄出。
6.如因报告者过失导致礼品丢失或者损坏,71SRC 将不承担责任;如因快递公司问题及其他人力不可抗拒因素导致礼品丢失或者损坏,最终责任由71SRC承担。
用户等级规定
根据注册白帽子的积分累计总值共分为八个等级:实习安全研究员、安全研究员、高级安全研究员、资深安全研究员、安全专家、高级安全专家、资深安全专家、安全科学家,同时支持非注册用户在线提交漏洞。下面详细描述了每个等级的评判标准:
非注册用户
支持未登录在线提交漏洞,漏洞入库并不计算分值,前台不显示。
注册用户
实习安全研究员:分值在1-20的注册白帽子用户;
安全研究员:分值在20-50的注册白帽子用户;
高级安全研究员:分值在50-100的注册白帽子用户;
资深安全研究员:分值在100-200的注册白帽子用户;
安全专家:分值在200-300的注册白帽子用户;
高级安全专家:分值在300-500的注册白帽子用户;
资深安全专家:分值在500-800的注册白帽子用户;
安全科学家:分值在800以上的注册白帽子用户。
注意: 登录后匿名提交的漏洞,漏洞入库并累计金币但不计积分
注意事项
1.恶意提交者将封号、清空积分处理。
2.提交无关的问题爱奇艺有权不做答复。
3.爱奇艺员工不得参与或通过亲属、朋友参与。
4.任何关于本文件的建议,欢迎通过 [email protected] 给我们反馈。
5.爱奇艺对本文件内容拥有最终解释权,上述规则如有任何变更,以爱奇艺相关页面公布的实际规则为准。
也许你还想看
爱奇艺微服务标准技术架构实践
爱奇艺获ISO双认证 信息安全与用户隐私保障达到国际先进水平
扫一扫下方二维码,更多精彩内容陪伴你!
转载自:爱奇艺安全应急响应中心