XYSRC漏洞评分标准和奖励机制

公告编号:2020090902作者:xysrc发布日期:2021/03/22

XYSRC漏洞奖励与兑换机制

 

漏洞奖励计算方法

1.      提交漏洞的奖励包括贡献值奖励和金币奖励。

2.      贡献值由漏洞对应用的危害程度以及应用的重要程度决定,贡献值将用于荣誉奖励颁发及排名。详见贡献值积分对应表。

3.      金币由漏洞对应用的危害程度以及应用的重要程度决定,金币将用于礼品奖励兑换。详见金币奖励对应表。

4.      业务分级由XYSRC根据不同业务系统重要程度及与小赢科技的关联程度进行分级,不同重要等级的业务系统漏洞奖励会有不同。

贡献值奖励对应表

等级业务

严重

高危

中危

低危

核心业务

100-160

40-100

16-30

2-10

非核心业务

40-60

20-30

4-15

1-5

金币奖励对应表:

等级业务

严重

高危

中危

低危

核心应用

5000-8000

2000-5000

800-1500

50-500

非核心应用

2000-3000

1000-1500

200-500

30-100

非常有价值漏洞或威胁情报额外加3000-30000金币奖励。

活动期间将额外赠送一定比例的金币。

 

漏洞等级评定标准

根据漏洞的危害程度将漏洞等级分为【严重】、【高】、【中】、【低】四个等级。由XYSRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的贡献值和漏洞定级,每种等级包含的评分标准及漏洞类型如下:

【严重】

1.     直接获取核心服务器权限和重要产品客户端权限的漏洞,包括但不限于上传Webshell、任意代码执行、缓冲区溢出(包括可利用的 ActiveX缓冲区溢出)、远程命令执行及其它因逻辑问题导致的可被利用的远程代码执行漏洞等;

2.     核心系统严重的信息泄露漏洞,包括但不限于核心DB的SQL注入、大量用户严重敏感身份信息泄露(至少包含3个敏感字段:姓名/身份证、银行卡信息、手机号/邮箱、密码、地址)、企业内部核心数据泄露等;

3.     核心系统严重的逻辑设计或流程缺陷,包括但不限于批量修改任意账号密码漏洞、任意账号资金消费、任意金额修改的支付漏洞等;

4.     严重影响核心系统可用性的漏洞,如可直接导致核心系统业务瘫痪的拒绝服务漏洞(如S2-020补丁绕过切换web目录可直接导致网站挂掉);

【高】

1.     直接获取重要业务服务器权限的漏洞。包括但不限于上传Webshell、任意代码执行、缓冲区溢出(包括可利用的 ActiveX缓冲区溢出)、远程命令执行及其它因逻辑问题导致的可被利用的远程代码执行漏洞等;

2.     直接导致重要的信息泄漏漏洞。包括但不限于重要DB的SQL注入漏洞;重要业务大量源码泄露;

3.     严重的越权访问。包括但不限于绕过认证访问重要系统后台;批量盗取用户姓名、手机号、家庭住址、身份证号等;

4.     较严重的逻辑设计或流程缺陷,包括但不限于重要系统任意密码重置漏洞;

【中】

1.     需交互才能获取用户身份信息的漏洞。包括限于核心及重要系统存储型XSS漏洞、反射型 XSS(包括反射型 DOM-XSS)、重要操作CSRF、JSON Hijacking;

2.     任意文件操作漏洞。包括但不限于任意文件读、写、删除、下载等操作;

3.     普通的越权访问。包括但不限于绕过限制修改用户资料、执行用户操作、读取用户信息;绕过限制访问非重要系统后台;

4.     比较严重的信息泄漏漏洞。包括但不限于敏感信息文件泄露(如DB连接密码);

【低】

1.     反射型XSS;非重要系统存储型XSS;

2.     敏感操作的CSRF;URL跳转;危害有限的越权操作;

3.     轻微信息泄漏。包括但不限于phpinfo;非核心系统的svn信息泄露;非重要信息的泄露(如不能利用的DB连接密码等);客户端应用本地SQL注入;

4.     难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点;客户端本地拒绝服务;

 

不接受的漏洞范围

1.     不涉及安全问题的Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性、复杂交互的URL重定向、账户枚举等问题;

2.   利用条件异常苛刻的安全漏洞。无敏感操作的CSRF(收藏、取消收藏、添加购物车、一般的资料修改等)、无意义的异常信息泄漏、无意义的源码泄漏、内网IP地址/域名泄漏、无敏感信息的越权访问、401基础认证钓鱼;

3.    不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测、无法重现、未经验证、无意义的扫描报告的问题;

4.    任何无敏感信息的信息泄露(例如无敏感信息的jsonp劫持、无敏感信息的cors跨域配置错误、self类的XSS、仅有js、img等的打包文件、一般信息的logcat、包含内网ip/域名的页面)等;

5.    已经有人提交过的重复漏洞或已知漏洞。

 

评分标准通用原则

1.      评分标准仅适用于小赢科技产品和业务。

2.      对于测试范围内非小赢科技自身发布的产品和业务,如小赢科技的合作区业务,奖励将适当调整。

3.      同一个漏洞源产生的多个漏洞计漏洞数量为一。例如 PHPwind 的安全漏洞、同一个 JS 引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个安全漏洞等。

4.      各等级漏洞的最终奖励由漏洞利用难度及影响范围等综合因素决定,例如若漏洞触发条件非常苛刻,包括但不限于特定浏览器才可触发的XSS漏洞,则可跨等级调整奖励。

5.      对于重复收到的漏洞,默认只奖励首位提交的人员。

6.      以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,将不记贡献和奖励,同时小赢科技保留采取进一步法律行动的权利。


漏洞审核与奖励兑换方法

    1.    管理员将在收到漏洞后尽早审核漏洞,默认最晚在第二个工作日下班前完成审核或答复。若出现延迟审核的情况,请发邮src@xiaoying.com件给管理员提醒。

    2.    兑换奖励后,我们最晚在次月初完成全部奖励的发放。也可能会提前发放。

    3.    根据国家税务总局公告2018年第61号要求,加入如下实名流程:若一个月兑换的京东卡面额超过800元,管理员将会联系白帽子要求提交实名信息进行报税,否则无法发送奖励。税额由小赢科技公司进行支付。实名信息包括(姓名、身份证号、手机号)。如果不想提交实名信息,那么只能每个月兑换最多800元京东卡。实名信息可发邮件给src@xiaoying.com,标题注明实名信息,内容提供SRC账户名称和实名信息(姓名、身份证号、手机号)。

争议解决办法

在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过漏洞详情页面的留言板或者通过邮箱(src@xiaoying.com)联系在线工作人员及时沟通。 XYSRC将按照漏洞报告者利益优先的原则处理。