YSRC奖励标准 V3.0

公告编号:YSRC奖励标准作者:YSRC发布日期:2020/09/08

 

浙江集商优选电子商务有限公司(云集)自成立以来就非常重视自身产品和业务的安全问题,一直致力于保障用户的安全。云集安全应急响应中心(Yunji Security Response Center , 简称YSRC),作为YSRC与安全研究人员间的交流平台,非常欢迎广大用户向我们提交与我们相关的安全漏洞,以帮助我们建设更安全可靠的线上系统。云集认为每个安全漏洞的处理和整个安全行业的进步,都离不开各方的共同合作。希望企业、 安全公司、安全组织、安全研究者一起加入到“合作式的漏洞披露和处理”过程中来,共建安全健康的互联网环境,共同保护广大互联网用户。

 

一,

 


核心业务

一般业务

边缘业务

严重

1000-3000

500-1000

300-500

高危

500-1000

300-500

100-300

中危

300-500

100-300

50-100

低危

100-300

50-100

10-20

 

二,业务影响程度判断

核心业务

1  、云集APP相关的业务数据和系统漏洞

一般业务

云集在公网开放的所有网站和系统

 

边缘业务

其他内容  

 

三,漏洞级别判断标准

严重漏洞:

1)      直接获取核心系统权限(服务器端权限、客户端权限)的漏洞。包括但不限于:命令注入、远程命令执行、上传获取 WebShellSQL 注入获取核心系统权限、缓冲区溢出(包括可利用的 ActiveX 缓冲区溢出);

2)      直接导致核心业务拒绝服务的漏洞。包括通过该远程拒绝服务漏洞直接导致线上核心应用、系统、服务器无法继续提供服务的漏洞;

3)      核心业务的严重逻辑设计缺陷和流程缺陷。包括但不限于任意账号登录和密码修改、任意账号资金消费、特大量订单详细泄露、核心支付系统支付交易流程的漏洞;

4)      严重级别的敏感信息泄露。包括但不限于核心 DB SQL 注入漏洞、包含公司、用户敏感数据的接口引发的信息泄露。 


高危漏洞

1)      直接获取一般系统权限(服务器端权限、客户端权限)的漏洞。包括但不限于:命令注入、远程命令执行、上传获取 WebShellSQL 注入获取系统权限、缓冲区溢出(包括可利用的 ActiveX 缓冲区溢出);

2)      核心系统越权访问操作。包括但不限于绕过认证直接访问管理后台可操作、核心业务非授权访问、 核心业务后台弱密码,增删查改任意用户敏感信息或状态等核心交互的越权行为;

3)      敏感信息泄漏漏洞。包括但不限于源代码压缩包泄漏、越权或者直接获取大量用户、员工信息,或者可获取大量用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露;

4)      可远程获取客户端权限的漏洞。包括但不限于远程任意命令执行、可进内网获取数据的SSRF、远程缓冲区溢出及其它逻辑问题导致的客户端漏洞。核心系统重要页面的存储型 XSS(包括存储型DOM-XSS)以及可获取核心cookie等敏感信息且具有传播性的各种 XSS 

 

中危漏洞

1)      普通信息泄露。包括但不限于未涉及敏感数据的 SQL 注入、影响数据量有限或者敏感程度有限的越权、源代码或系统日志等信息泄露;

2)      需受害者交互或其他前置条件才能获取用户身份信息的漏洞。包括但不限于包含用户、网站敏感数据的JSON Hijacking、重要业务操作(如支付类操作、发布信息或修改个人账号敏感信息类操作)的 CSRF、一般业务存储型 XSS

3)      普通的逻辑缺陷和越权。包括但不限于一般业务系统的越权行为和设计缺陷

4)      可攻击的XSS类攻击

5)      不涉及云集账号系统的暴力破解漏洞或账户系统的可撞库接口 

 

低危漏洞

1)      轻微信息泄露,包括但不限于路径、SVN 信息泄露、和含有少量敏感字段的调试信息,本地 SQL 注入、日志打印及配置等泄露情况

2)      只在特定情况之下才能获取用户信息的漏洞,包括但不限于反射XSS(包括 DOM 型)、边缘业务的存储 XSS

3)      利用场景有限的漏洞,包括但不限于短信、URL跳转、非云集系统的可撞库接口等

4)      利用有难度但存在安全隐患的漏洞,包括但不限于可引起传播的 Self-XSS,登录接口缺陷,敏感操作但利用条件CSRF

 

忽略

1)      无法利用/无实际危害的漏洞

2)      不能重现的漏洞,包括但不限于经 YSRC 审核者多次确认无法重现的漏洞

3)      内部已知、正在处理的漏洞,等已在其他平台公开通用的,白帽子、内部已发现的漏洞

4)      SRC系统的提交接口所涉及的CSRF、越权提交等安全漏洞 

5)      非接收范围内的漏洞,如非云集业务的安全漏洞

6)      实际业务安全性无影响的 Bug。包括但不限于产品功能缺陷、页面乱码、样式混乱

7)      不接收无实际意义的扫描器结果报告

此公告自2020年1月1日起生效