马蜂SRC漏洞评分标准及奖励规则v1.0公告
发布时间:2019-07-12 14:07:02
马蜂窝SRC漏洞评分及奖励标准
一.MFSRC奖励计划
马蜂窝安全应急响应中心奖励计划采取贡献值兑换形式实行,白帽子通过提交有效漏洞来获得贡献值,贡献值由漏洞风险等级以及业务分级系数决定,奖励贡献值公式:
奖励贡献值=漏洞风险等级*倍数奖励(默认为1)
(1)白帽子可用获得的贡献值在积分商场里兑换现金奖励,每个白帽子账户中的贡献值可以累积,但仅供个人使用。
1、直接获取操作系统权限(服务端权限、客户端权限)的漏洞:包括但不限于任意代码执行、任意命令执行、上传Webshell并可执行、SQL注入获取系统权限等;
2、影响范围较广的越权访问漏洞:包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改等较为重要的越权行为等;
3、直接获取移动客户端权限:包括但不限于任意命令执行、任意代码执行等;
4、高风险的信息泄露漏洞:包括但不限于DB的SQL注入漏洞,泄露用户隐私信息,服务器敏感信息的日志文件下载等;
5、严重的逻辑漏洞:包括但不仅限于涉及用户支付方面的安全问题,如任意账号登录、任意账号密码修改、任意账号资金消费、批量修改任意帐号密码漏洞等;
6、严重的敏感信息泄漏:包括但不限于:重要DB(资金、用户身份、订单)的 SQL 注入引起的敏感信息泄漏;绕过认证直接访问管理后台、获取大量内网敏感信息;可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露等。
1、需交互才能获取用户身份信息的漏洞:包括但不限于敏感操作的可造成严重危害的存储型XSS等;
2、普通越权操作:包括但不仅限于不正确的直接对象引用、越权查看订单信息、越权查看用户身份信息等;
3、直接导致系统业务拒绝服务的漏洞:导致业务重要接口拒绝服务漏洞;
1、轻微信息泄漏:包括但不仅限于路径信息泄漏、git信息泄漏、SVN信息泄漏,以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息、异常信息等。
2、难以利用但存在安全隐患的漏洞:包括但不仅限于难以利用的SQL注入点、不能引起较大危害的存储型XSS(包括仅自己可见的存储型XSS)等;
3、其他只能造成轻微影响的漏洞:包括但不仅限于URL 跳转、系统/服务运维配置不当、组件权限漏洞等;
4、普通逻辑设计缺陷:包括但不限于短信验证码绕过、邮件验证绕过;
5、普通信息泄漏:包括但不仅限于客户端明文存储密码、系统路径遍历;
1、不涉及安全问题的BUG:包括但不限于产品功能缺陷、页面乱码、样式问题、静态文件目录遍历、应用兼容性等问题;
2、无法利用的漏洞:包括但不限于除m.mafengwo.cn站外反射型XSS、非敏感操作的CSRF、无敏感信息的json hijacking等
3、无敏感信息的信息泄露:包括但不限于无意义的源码泄漏、无意义的内网 IP 地址/域名/账号密码泄漏、路径信息泄露、无敏感信息的 logcat信息泄漏等。
4、不能重现的漏洞:包括但不仅限于纯属用户猜测、未经过验证的问题、无实际危害证明的扫描器结果
三、漏洞收集原则:
1、MFSRC收集漏洞范围:
马蜂窝名下所有产品及业务,域名包括但不限于*.mafengwo.cn。
2、相同问题的漏洞,将按提交时间给予首个提交者积分。
3、如果同一漏洞或同一问题漏洞的不同表现形式在漏洞修复前由多位漏洞报告者提交,在进行奖励时,我们会以最先提交并清晰表述、重现此漏洞问题的研究者为唯一受奖励者。
4、漏洞提交报告应尽量详细、规范。提供详细的漏洞详情、漏洞原理、利用方式以及修复建议的可以酌情加分。漏洞需证明其存在并可利用,对于poc或exploit未提供或者没有详细分析的漏洞提交将直接影响该漏洞的评定。
5、漏洞证明其存在并可利用,禁止利用漏洞进行非法操作,包括但不限于:拖库、进入内网,情节严重者将取消该用户所有贡献值,并保留采取进一步法律行动的权利。
6、MFSRC漏洞奖励计划仅限于首次在MFSRC提交的漏洞,在其它平台上提交过的,同一漏洞非首次提交的,均不予审核通过。提交网上已经公开的漏洞不计分。严禁白帽子在多平台提交相同漏洞来刷奖励,一经发现将严肃处理。
7、恶意提交者将作封号处理。
8、由于客户端的特殊性,提交漏洞以当前时间最新客户端为准(同一漏洞不可在不同版间重复提交)。
9、只接收属于马蜂窝移动客户端产品的漏洞,不接收Android/IOS系统自身漏洞。
10、马蜂窝坚决抵制利用漏洞进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等恶意行为,一经发现将进行严肃处理,同时马蜂窝保留采取进一步法律行动的权利。
四、漏洞争议解决办法:
白帽子在漏洞提交及处理过程中,如果对流程处理、漏洞定级、漏洞评分等有异议的,可注明漏洞标题、漏洞提交人、漏洞提交时间、联系方式(电话/微信)、申诉原因等内容邮件至:mfsrc@mafengwo.com,MFSRC将按照漏洞报告者利益优先的原则处理。