云集安全奖励计划

公告编号:作者:云集安全应急响应中心发布日期:2020/06/29

一、安全威胁评分说明  


云集安全应急响应中心威胁报告主要包含web/客户端漏洞、业务威胁情报、下面会对每个部分的规则做评分说明 


根据威胁对业务的安全风险,威胁分为严重、高危、中危、低危


二、Web/客户端漏洞报告评审标准


严重漏洞:1000-3000


1)     直接获取核心系统权限(服务器端权限、客户端权限)的漏洞。包括但不限于:命令注入、远程命令执行、上传获取 WebShell、SQL 注入获取核心系统权限、缓冲区溢出(包括可利用的 ActiveX 缓冲区溢出);


2)     直接导致核心业务拒绝服务的漏洞。包括通过该远程拒绝服务漏洞直接导致线上核心应用、系统、服务器无法继续提供服务的漏洞;


3)     核心业务的严重逻辑设计缺陷和流程缺陷。包括但不限于任意账号登录和密码修改、任意账号资金消费、特大量订单详细泄露、核心支付系统支付交易流程的漏洞;


4)     严重级别的敏感信息泄露。包括但不限于核心 DB 的 SQL 注入漏洞、包含公司、用户敏感数据的接口引发的信息泄露。 


高危漏洞 500-1000


1)    直接获取一般系统权限(服务器端权限、客户端权限)的漏洞。包括但不限于:命令注入、远程命令执行、上传获取 WebShell、SQL 注入获取系统权限、缓冲区溢出(包括可利用的 ActiveX 缓冲区溢出);


2)    核心系统越权访问操作。包括但不限于绕过认证直接访问管理后台可操作、核心业务非授权访问、 核心业务后台弱密码,增删查改任意用户敏感信息或状态等核心交互的越权行为;


3)    敏感信息泄漏漏洞。包括但不限于源代码压缩包泄漏、越权或者直接获取大量用户、员工信息,或者可获取大量用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露;


4)    可远程获取客户端权限的漏洞。包括但不限于远程任意命令执行、可进内网获取数据的SSRF、远程缓冲区溢出及其它逻辑问题导致的客户端漏洞。核心系统重要页面的存储型 XSS(包括存储型DOM-XSS)以及可获取核心cookie等敏感信息且具有传播性的各种 XSS。 


中危漏洞 100-500


1)    普通信息泄露。包括但不限于未涉及敏感数据的 SQL 注入、影响数据量有限或者敏感程度有限的越权、源代码或系统日志等信息泄露;


2)    需受害者交互或其他前置条件才能获取用户身份信息的漏洞。包括但不限于包含用户、网站敏感数据的JSON Hijacking、重要业务操作(如支付类操作、发布信息或修改个人账号敏感信息类操作)的 CSRF、一般业务存储型 XSS;


3)    普通的逻辑缺陷和越权。包括但不限于一般业务系统的越权行为和设计缺陷


4)    可攻击的XSS类攻击


5)    不涉及云集账号系统的暴力破解漏洞或账户系统的可撞库接口 


低危漏洞 50-200


1)    轻微信息泄露,包括但不限于路径、SVN 信息泄露、和含有少量敏感字段的调试信息,本地 SQL 注入、日志打印及配置等泄露情况


2)    只在特定情况之下才能获取用户信息的漏洞,包括但不限于反射XSS(包括 DOM 型)、边缘业务的存储 XSS


3)    利用场景有限的漏洞,包括但不限于短信、URL跳转、非云集系统的可撞库接口等


4)    利用有难度但存在安全隐患的漏洞,包括但不限于可引起传播的 Self-XSS,登录接口缺陷,敏感操作但利用条件CSRF


忽略


1)      无法利用/无实际危害的漏洞


2)     不能重现的漏洞,包括但不限于经 YSRC 审核者多次确认无法重现的漏洞


3)     内部已知、正在处理的漏洞,等已在其他平台公开通用的,白帽子、内部已发现的漏洞


4)     SRC系统的提交接口所涉及的CSRF、越权提交等安全漏洞 


5)     非接收范围内的漏洞,如非云集业务的安全漏洞


6)     实际业务安全性无影响的 Bug。包括但不限于产品功能缺陷、页面乱码、样式混乱


7)     不接收无实际意义的扫描器结果报告



三、业务范围及重要程度判断标准


      涉及云集APP支付系统、账户系统、用户大量敏感信息、订单详细信息的APP,可被视为云集【核心业务】。


      业务范围: 域名:*.yunjiglobal.com  云集APP  应用市场 安卓/IOS     依据漏洞实际影响,研发团队会评定奖金。