https://bsrc.baidu.com/%E7%99%BE%E5%BA%A6%E5%A4%96%E9%83%A8%E6%BC%8F%E6%B4%9E%E6%8A%A5%E5%91%8A%E5%A4%84%E7%90%86%E6%B5%81%E7%A8%8BV4%200%E6%AD%A3%E5%BC%8F%E7%89%88.pdf
百度安全应急响应中心漏洞奖励细节
V4.0(正式版)
版本号 修订内容 发布日期
V2.0 发布第一版 2013-07-25
V3.0 更新评分标准;更新奖品发放流程 2015-01-23
V4.0
(试用版)
更新漏洞评分体系;新增【严重】级别漏洞评分标
准;全面提升漏洞奖励力度;明确高质量漏洞奖励
规则
2015-11-04
V4.0
(正式版)
优化漏洞评分体系;完善漏洞评分处理细则;取消
季度奖励评选;新增月度前三现金奖励计划
2016-03-01

一.适用范围

本流程适用于百度漏洞反馈平台(bsrc.baidu.com)所收到的安全漏洞报告。

二.实施日期

根据用户反馈,综合各方专家建议,对 V4.0 进行重新修订整理,并于 2016 年 3 月 1
日发布 V4.0 正式版。
如果您对本流程有任何的建议,欢迎通过邮箱 security@baidu.com;新浪微博私信
@百度安全应急响应中心;或者通过 QQ 群 323198660 留言的方式向我们反馈。建
议一经采纳,BSRC 会送出专属定制礼品。

三.漏洞提交与反馈流程

image.png

四.安全漏洞评分标准

根据漏洞对公司整体业务的影响程度将漏洞等级分为【严重】、【高】、【中】、【低】、【忽
略】五个等级。每个漏洞所得安全币数量=基础安全币*业务等级系数。由 BSRC 结合利
用场景中漏洞的严重程度、利用难度、影响范围等综合因素进行漏洞评级,并给予相应
安全币,每种等级包含的评分标准及漏洞类型如下:
image.png

【 严重 】 核心系统应用中的高危漏洞, 业务等级系数【1-10 】,基础安全币【135~160 】,本等级包括:

  1. 直接获取核心系统权限的漏洞(服务器权限、PC 客户端权限)。包括但不仅限于
    重要业务的:远程命令执行、任意代码执行、上传获取 Webshell、SQL 注入获取
    系统权限,重要产品客户端缓冲区溢出(包括可利用的 ActiveX 缓冲区溢出)。
    (注:核心系统例如 百度 passport 服务器、百度钱包交易处理服务器)
  2. 直接导致核心系统业务拒绝服务的漏洞。包括但不仅限于直接导致移动网关业务
    API 业务拒绝服务、网站应用拒绝服务等造成严重影响的远程拒绝服务漏洞(例
    如可造成删除 war 包导致网站挂掉)。
  3. 核心系统的严重敏感信息泄漏。包括但不仅限于核心 DB(用户信息、交易信
    息) 的 SQL 注入,可获取大量用户的身份信息、订单信息、银行卡信息等接口
    问题引起的敏感信息泄露。
    3 / 11

  4. 核心系统中严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量
    发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。

    【 高 】 非核心系统中的高危漏洞,或核心系统中的一般漏洞,业务等级系数【1-10】, 基本安全币【45-60】,本等级包括:

  5. 属于严重级别中所描述的漏洞类型,但是产生在非核心系统中的漏洞(例如非核
    心系统的远程任意命令执行、可 dump 出数据的 SQL 注入),以及移动端 App
    命令执行类漏洞(例如 Android WebView 远程代码执行漏洞)

  6. 访问任意系统文件的漏洞,包括但不限于任意文件包含、任意文件读取。
  7. 其它敏感信息泄漏。包括但不限于源代码压缩包泄漏、UC-Key 泄露、
    HEARTBLEED 漏洞等。同时包括通过 SVN 信息泄漏、Git 信息泄露导致的重要产
    品线源码泄露。
  8. 包含敏感信息的非授权访问。包括但不仅限于绕过认证直接访问管理后台、后台
    弱密码、可直接获取大量内网敏感信息的 SSRF。
  9. 包含敏感信息的越权操作及核心系统的越权操作。包括但不仅限于越权修改其他
    用户重要信息、进行订单操作、重要业务配置修改等较为重要的越权行为。

  10. 大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储
    型 XSS(包括存储型 DOM-XSS)和涉及交易、重要操作的 CSRF,以及可获取
    BDUSS 等敏感信息的各种 XSS。

    【 中 】 业务等级系数【1-10】,基础安全币【8 -12 】,本等级包括:

  11. 需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型 XSS。

  12. 普通越权操作。包括但不仅限于越权查看非核心系统的订单信息、记录等。影响
    业务运行的 Broadcast 消息伪造等 Android 组件权限漏洞等。
  13. 普通信息泄漏。包括但不仅限于客户端明文存储密码、客户端密码明文传输以及
    web 路径遍历、系统路径遍历、非核心系统的 SVN 信息泄漏。
  14. 普通的逻辑设计缺陷和流程缺陷。(例如绕过实名认证)

  15. 其他造成中度影响的漏洞,例如:解析漏洞、目录遍历漏洞、管理后台对外

    【 低 】业务等级系数【1-10 】,基础安全币【1 -5 】,本等级包括:

  16. 本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务(解析文件格式、网络
    协议产生的崩溃),由 Android 组件权限暴露、普通应用权限引起的问题等。

  17. 轻微信息泄漏。包括但不仅限于路径信息泄漏、PHPinfo、异常信息泄露,以及
    客户端应用本地 SQL 注入(仅泄漏数据库名称、字段名、cache 内容)、日志打
    印、配置信息、异常信息等。
  18. 难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的 SQL 注入点、可引
    起传播和利用的 Self-XSS、需构造部分参数且有一定影响的 CSRF。

  19. 其他只能造成轻微影响的漏洞,反射型 XSS(包括反射型 DOM-XSS)、普通
    CSRF、URL 跳转漏洞。例如:CRLF 漏洞、URL 跳转、Crossdomain.xml 配置问
    题。

    【 无 】 基础安全币【0】,本等级包括:

  20. 不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、
    静态文件目录遍历、应用兼容性等问题。

  21. 无法利用的缺陷。包括但不仅限于 Self-XSS、无敏感操作的 CSRF、无意义的异
    常信息泄漏、内网 IP 地址/域名泄漏。
  22. 任何无敏感信息的信息泄露(例如无敏感信息的 json hijacking、仅有 js、img
    等的打包文件、一般信息的 logcat、包含内网 ip/域名的页面)等。

  23. 无法重现的漏洞、只有“简要概述”的漏洞、不能直接体现漏洞的其他问题。包括
    但不限于纯属用户猜测、未经过验证的问题、无实际危害证明的扫描器结果。

    评分标准通用原则

  24. 评分标准仅适用于百度所有产品和服务,域名包括但不限于*baidu.com、
    hao123.com 等。

  25. 同一漏洞最早提交者得分;在其它平台上提交过的不计分;与百度完全无关的漏洞
    不计分;提交外界已经公开的漏洞不计分。
  26. SSRF 漏洞不区分业务等级:完全回显计 300 分、部分回显计 40 分、无回显计 20
    分。
  27. 若目标系统是核心产品线的边缘业务(例如百度地图的某个边缘业务),并且不能
    获取敏感或有价值数的数据,则业务等级系数降一级(即由核心业务等级降为一般
    业务等级)。敏感数据包括但不仅限于大量用户数据、交易数据,或可以引起直接
    风险的敏感数据。
  28. 短信轰炸的定义:单一 IP/用户半小时内定向发送超过 50 条后无任何限制。使用
    短信接口不受限制向不同手机发送 1 条短信的问题忽略。
  29. 百度开放云提供给外部用户使用的主机,仅收高危漏洞并且全部计 1 分。
  30. 同一个域名的同类问题在七个工作日内重复提交,只计第一个。
  31. 同一漏洞源的多个漏洞仅记为 1 个。以下情况也作同一漏洞源处理,即多个漏洞
    按一个处理,如已提交问题修复但其他位置仍存在该问题则重新记分

同一个站点开启 debug 或 php 未关闭错误回显等原因引起的多处信息泄露
同一个站点多个目录存在目录浏览或 svn 信息泄露

  1. 拒绝服务类漏洞,如报告中仅给出 fuzz 程序的一些调试信息、无法给出具体出现
    问题函数等细节,一律评 1 分
  2. PC 端二进制类漏洞,需要尽可能提供 POC 和分析过程,否则将影响评分。如果
    该软件已经超过半年没有更新(例如百度阅读器),漏洞只给 2 分
  3. 通用型漏洞,如 struts 出现新漏洞,首位报告者双倍积分,报告时间一周内其他
    该 struts 漏洞引起的问题忽略处理,一周后如仍存在该问题则按漏洞对应级别评
    分。
  4. 鼓励报告者在提交漏洞报告时提供完整的漏洞发现方式,满足此条件的漏洞报告
    在漏洞审核中会酌情加分,并有机会参与评选高质量漏洞奖。

    五.奖励发放原则

    安全币用于但不仅限于礼品商城兑换礼品
    漏洞报告者通过报告漏洞获得安全币,是用于 BSRC 礼品商城兑换的一种虚拟货币,
    安全币数量=基础安全币*业务等级系数。
    每周一为礼品发放日,在兑换礼品前请先确认个人资料是否已完善,新版网站需要用户
    设置默认收件地址。如因报告者过失、快递公司问题及人力不可抗拒因素产生的奖品丢
    失或者损坏,BSRC 不承担责任。

六.现金奖励计划

特别说明:自 2016 年 3 月 1 日正式上线《百度安全响应中心漏洞奖励细节 V4.0 》
之后,BSRC 将取消原有的季度前三奖励计划,自上线当月正式实施月度前三现金奖励
计划,请用户知晓。

  1. 个人月度前三现金奖励计划
    参选条件:
    1) 个人月度积分达到 800 分及以上的安全专家;
    2) 本月至少提交过 2 个高危或严重级别漏洞的安全专家;
    获奖名单:
    同时满足以上两个参选条件的安全专家有资格参与当月评选,获奖名单参照 BSRC 网
    站【荣誉榜】-个人排行榜。
    奖励形式:
    一等奖一名:5000RMB 现金奖励
    二等奖一名:3000RMB 现金奖励
    三等奖一名:1000RMB 现金奖励
    特别说明:1) 若当月无上榜安全专家,则此奖项空缺;
  2. 高质量漏洞现金奖励计划
    评选条件:根据漏洞等级、难易程度、影响范围、思路是否新颖等因素进行综合评
    选。
  3. 思路新颖,对百度业务安全做出突出贡献的安全专家;
  4. 提交对百度业务有较大影响的严重或高危漏洞的安全专家;
  5. 提交严重或高危漏洞较多的安全专家;

  6. 若本月未评选出高质量漏洞奖,则奖项可空缺;
    奖励形式:
    根据综合评选,奖励最高 100,000RMB 现金奖励

    七.争议解决办法

    在漏洞处理过程中,如果报告者对处理流程、漏洞评定、漏洞评分等具有异议的,请通
    过 QQ:323198660 进行反馈。百度安全应急响应中心将根据漏洞报告者利益优先的
    原则进行处理。

    八.FQA

  7. 季度奖励制度取消会影响白帽子权益吗?
    BSRC 一直以维护白帽子权益为己任,取消季度前三奖励评选,不会给白帽子造成
    任何损失,BSRC 已全新上线月度前三现金奖励计划,提高奖励时效性。

  8. BSRC 一积分相当于多少安全币?
    安全币是 BSRC 采用的积分计量单位,可用于礼品商城的消费。安全币将全面取代
    原有积分制,并且安全币与原有积分等值,1 安全币=4RMB。
  9. BSRC 采用新版漏洞评分标准,会不会影响到白帽子之前的积分?
    9 / 11
    BSRC 老用户原有积分不受任何不影响。只是以安全币代替积分作为虚拟货币单位。