公告编号:YSRC奖励标准作者:YSRC发布日期:2020/09/08
浙江集商优选电子商务有限公司(云集)自成立以来就非常重视自身产品和业务的安全问题,一直致力于保障用户的安全。云集安全应急响应中心(Yunji Security Response Center , 简称YSRC),作为YSRC与安全研究人员间的交流平台,非常欢迎广大用户向我们提交与我们相关的安全漏洞,以帮助我们建设更安全可靠的线上系统。云集认为每个安全漏洞的处理和整个安全行业的进步,都离不开各方的共同合作。希望企业、 安全公司、安全组织、安全研究者一起加入到“合作式的漏洞披露和处理”过程中来,共建安全健康的互联网环境,共同保护广大互联网用户。
一,
核心业务 | 一般业务 | 边缘业务 | |
严重 | 1000-3000 | 500-1000 | 300-500 |
高危 | 500-1000 | 300-500 | 100-300 |
中危 | 300-500 | 100-300 | 50-100 |
低危 | 100-300 | 50-100 | 10-20 |
二,业务影响程度判断
核心业务
1 、云集APP相关的业务数据和系统漏洞
一般业务
云集在公网开放的所有网站和系统
边缘业务
其他内容
三,漏洞级别判断标准
严重漏洞:
1) 直接获取核心系统权限(服务器端权限、客户端权限)的漏洞。包括但不限于:命令注入、远程命令执行、上传获取 WebShell、SQL 注入获取核心系统权限、缓冲区溢出(包括可利用的 ActiveX 缓冲区溢出);
2) 直接导致核心业务拒绝服务的漏洞。包括通过该远程拒绝服务漏洞直接导致线上核心应用、系统、服务器无法继续提供服务的漏洞;
3) 核心业务的严重逻辑设计缺陷和流程缺陷。包括但不限于任意账号登录和密码修改、任意账号资金消费、特大量订单详细泄露、核心支付系统支付交易流程的漏洞;
4) 严重级别的敏感信息泄露。包括但不限于核心 DB 的 SQL 注入漏洞、包含公司、用户敏感数据的接口引发的信息泄露。
高危漏洞
1) 直接获取一般系统权限(服务器端权限、客户端权限)的漏洞。包括但不限于:命令注入、远程命令执行、上传获取 WebShell、SQL 注入获取系统权限、缓冲区溢出(包括可利用的 ActiveX 缓冲区溢出);
2) 核心系统越权访问操作。包括但不限于绕过认证直接访问管理后台可操作、核心业务非授权访问、 核心业务后台弱密码,增删查改任意用户敏感信息或状态等核心交互的越权行为;
3) 敏感信息泄漏漏洞。包括但不限于源代码压缩包泄漏、越权或者直接获取大量用户、员工信息,或者可获取大量用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露;
4) 可远程获取客户端权限的漏洞。包括但不限于远程任意命令执行、可进内网获取数据的SSRF、远程缓冲区溢出及其它逻辑问题导致的客户端漏洞。核心系统重要页面的存储型 XSS(包括存储型DOM-XSS)以及可获取核心cookie等敏感信息且具有传播性的各种 XSS。
中危漏洞
1) 普通信息泄露。包括但不限于未涉及敏感数据的 SQL 注入、影响数据量有限或者敏感程度有限的越权、源代码或系统日志等信息泄露;
2) 需受害者交互或其他前置条件才能获取用户身份信息的漏洞。包括但不限于包含用户、网站敏感数据的JSON Hijacking、重要业务操作(如支付类操作、发布信息或修改个人账号敏感信息类操作)的 CSRF、一般业务存储型 XSS;
3) 普通的逻辑缺陷和越权。包括但不限于一般业务系统的越权行为和设计缺陷
4) 可攻击的XSS类攻击
5) 不涉及云集账号系统的暴力破解漏洞或账户系统的可撞库接口
低危漏洞
1) 轻微信息泄露,包括但不限于路径、SVN 信息泄露、和含有少量敏感字段的调试信息,本地 SQL 注入、日志打印及配置等泄露情况
2) 只在特定情况之下才能获取用户信息的漏洞,包括但不限于反射XSS(包括 DOM 型)、边缘业务的存储 XSS
3) 利用场景有限的漏洞,包括但不限于短信、URL跳转、非云集系统的可撞库接口等
4) 利用有难度但存在安全隐患的漏洞,包括但不限于可引起传播的 Self-XSS,登录接口缺陷,敏感操作但利用条件CSRF
忽略
1) 无法利用/无实际危害的漏洞
2) 不能重现的漏洞,包括但不限于经 YSRC 审核者多次确认无法重现的漏洞
3) 内部已知、正在处理的漏洞,等已在其他平台公开通用的,白帽子、内部已发现的漏洞
4) SRC系统的提交接口所涉及的CSRF、越权提交等安全漏洞
5) 非接收范围内的漏洞,如非云集业务的安全漏洞
6) 实际业务安全性无影响的 Bug。包括但不限于产品功能缺陷、页面乱码、样式混乱
7) 不接收无实际意义的扫描器结果报告
此公告自2020年1月1日起生效