- 首页
- 提交漏洞
- 高手榜
- 积分商城
- 知识库
- 公告
- 招聘
微博安全漏洞处理流程和评分标准
微博安全中心 2020-11-18 10:44:05一、基本原则:
1.微博安全应急响应中心本着衷心欢迎安全研究人员、白帽子、以及合作伙伴反馈微博下各产品线漏洞的原则,对所有提交的每一个有效漏洞都会人工进行审核、复审、抽查,确保反馈的漏洞得到相应价值的奖励、以及及时、完善的修复。
2.微博安全应急响应中心对于发现漏洞却进行恶意利用的行为,包括但不限于利用漏洞入侵业务系统、盗取用户隐私/财产、恶意传播漏洞,会诉诸法务部门进入法律流程;同时,禁止使用有影响力的微博账号进行测试。
3.对于在多家漏洞报告平台多次提交同一个漏洞、反复提交无效漏洞的行为,我们会相应扣减该白帽子的信誉值,并予以公示。
4.由同一个漏洞源引起的多个漏洞只对第一个提交计分,其他提交进行降级或者忽略处理(如多个业务用到同一个存在漏洞 js 文件、框架或者模板导致的整站安全漏洞等)。
5.对于微博投资的业务或与微博合作的第三方业务,漏洞对微博业务有影响的不论漏洞严重性和数量,单个漏洞金币奖励不超过 200,最高定级为【中危】;漏洞对微博业务没有影响的忽略处理(如可能会对微博造成影响的漏洞会酌情进行处理评分并联系相关负责人)。此类业务包括但不限于微任务(weirenwu.weibo.com)、微热点(wrd.cn)、微舆情(51wyq.cn)、微博动漫(vcomic.com)、微博云剪(jian.weibo.com、clip.cn)等。
二、漏洞处理流程:
1.漏洞审核:收到漏洞后,3个工作日内审核完成,审核结果会在WSRC主站的个人通知中显示,并给与有效漏洞报告者相应的积分、金币、现金奖励。
2.漏洞修复:根据漏洞修复难度,具体情况具体对待。通常来讲,审核完成后,漏洞会按照相应的危害级别第一时间进行修复,高危,严重级别的漏洞会优先修复。
3.漏洞复审:修复完成后,进行复审。
三、(产品层面)漏洞报告流程:
1.注册阶段:白帽子在平台登录,使用微博登录
2.编辑报告:白帽子在漏洞报告页,编辑、提交漏洞,漏洞进入[待审核]状态
3.审核阶段:管理员在管理后台收到漏洞,点击[审核],漏洞进入[审核中]状态
4.确认阶段:3个工作日内,漏洞审核人员处理问题、给出结论并计分,漏洞状态[已确认/已忽略]。必要时会与报告者沟通确认细节。
5.待修复阶段:漏洞审核人员将漏洞通过RT提案/JIRA提案分配给对应的业务部门,去修复威胁情报中反馈的安全问题并安排更新上线。修复时间根据问题的严重程度及修复难度而定,一般来说,严重和高风险问题 24 小时内,中风险三个工作日内,低风险七个工作日内。客户端安全问题受版本发布限制,修复时间根据实际情况确定。
6. 已修复阶段:漏洞状态[已修复]。漏洞对应的审核人员复审漏洞有无完全修复。
注:漏洞在已确认/已忽略/已修复三个状态时,会发送个人通知模板至白帽子的WSRC帐号。
四、公布流程:
1.每月底最后一个工作日统计当月1日至当天的漏洞报告情况,整理成月度报告。根据后台的积分情况,系统自动生成当月高手榜
2.礼品兑换统计:对于在线上积分商城购买的礼品,无特殊情况则尽可能于订单提交后的15个工作日内发出。后台系统里标记。
3.对于有价值的漏洞,我们进行专门的漏洞分析,分析报告会分享至WSRC知识库
五、漏洞评分标准
根据应用的重要程度将应用等级分为【核心应用】、【一般应用】。【WEB应用】
1、核心应用定义为:核心业务涉及主站、资金、交易、账号的业务;
2、一般应用定义为:核心业务中不涉及主站、资金、交易、账号的应用,以及第三方的应用;【服务器】
1、 核心服务器定义为:核心服务器提供数据存储、核心应用业务、内网重要系统的服务;
2、 一般服务器定义为:核心服务器中不涉及数据存储、核心应用业务和内网重要系统的服务。
根据漏洞危害程度分为严重、高、中、低、无五个等级,每个等级评分如下:
[ 严重 ]
积分:核心业务3000-5000;一般业务 2000-4000
核心业务额外奖励:面值总额价值人民币10000元的京东卡
1) 直接获取关键服务器权限的漏洞(微博或其他核心服务器权限、重要产品客户端权限)。包括但不限于远程任意命令执行、上传 webshell、可利用远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、可利用浏览器 use after free 漏洞、可利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞
2) 直接导致严重的信息泄漏漏洞。包括但不限于重要 DB 的 SQL 注入漏洞
3) 直接导致严重影响的逻辑漏洞。包括但不限于登录任意微博帐号发送消息漏洞,任意微博帐号密码更改漏洞
[ 高 ]
积分:核心业务1000-3000;一般业务 600-1500
1) 能直接盗取用户身份信息的漏洞(包括如微博密码、绑定手机、密保问题)的存储型 XSS 漏洞、 SQL 注入漏洞
2) 越权访问。包括但不限于敏感管理后台登录
3) 高风险的信息泄漏漏洞。包括但不限于可直接利用的敏感数据泄漏、带回显的SSRF等
4) 本地任意代码执行。包括但不限于本地可利用的堆栈溢出、UAF、double free、format string、本地提权、文件关联的 DLL 劫持(不包括加载不存在的 DLL 文件及加载正常 DLL 未校验合法性)以及其它逻辑问题导致的本地代码执行漏洞
5) 直接获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、浏览器 use after free 漏洞、远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行漏洞
6)导致高影响的逻辑漏洞。包括但不限于低价充值,无限注册账号,验证码回显、重用,并发漏洞等。
[ 中 ]
积分:核心业务 200-600;一般业务 50-200
1) 需交互才能获取用户身份信息的漏洞。包括但不限于反射型 XSS(包括反射型 DOM-XSS)、JSON Hijacking、重要敏感操作的 CSRF、影响较小的存储型 XSS
2) 远程应用拒绝服务漏洞、敏感信息泄露、内核拒绝服务漏洞、可获取敏感信息或者执行敏感操作的客户端产品的 XSS 漏洞
3) 普通信息泄漏漏洞。 可获取敏感信息或者执行敏感操作的重要客户端产品的 XSS 漏洞
4)具有一定影响的逻辑漏洞。包括但不限于具有限制性微博虚拟产品的并发领取漏洞(如,优惠券领取个数)等。
5)越权漏洞。包括但不限于越权查看可造成有限危害的信息。
[ 低 ]
积分:核心业务20-100;一般业务 10-50
1) 只在特定非流行浏览器环境下(如 IE6 等)才能获取用户身份信息的漏洞。包括但不限于反射型 XSS(包括反射型 DOM-XSS)、普通业务的存储型 XSS 等。
2) 轻微信息泄漏漏洞。包括但不限于路径泄漏、SVN 文件泄漏、phpinfo、logcat 敏感信息泄漏
3) PC 客户端及移动客户端本地拒绝服务漏洞。包括但不限于组件权限导致的本地拒绝服务漏洞。
4) 越权访问。包括但不限于绕过客户端主动防御,微博URL 跳转漏洞、绕过微博恶意URL检测策略的第三方 URL 跳转(注:跳转到正常网站的不属于跳转漏洞)
5) 难以利用但又可能存在安全隐患的问题。包括但不限于可能引起传播和利用的 Self-XSS、非重要的敏感操作 CSRF 以及需借助中间人攻击的远程代码执行漏洞并提供了有效 PoC
6)造成轻微影响的逻辑漏洞。包括但不限于短信资源消耗等。
[无]
积分:0
1) 无关安全的 bug。包括但不限于网页乱码、网页无法打开、某功能无法用
2) 无法利用的“漏洞”。包括但不限于没有实际意义的扫描器漏洞报告(如 Web Server 的低版本)、Self-XSS、无敏感信息的 JSON Hijacking、内网 IP 地址/域名泄漏、401 基础认证钓鱼、程序路径信任问题、无敏感信息的 logcat信息泄漏)
3) 无任何证据的猜测、假设
4) 非微博业务漏洞
六、安全情报评分标准
[严重]
积分2000-4000。
额外现金奖励(人民币):5000元
1.服务器被入侵且提供了入侵行为方式等相关线索
2.重要业务数据库被拖取且提供了数据库名或数据库文件等相关线索
3.重大金融逻辑漏洞线索,例如支付类严重逻辑漏洞
[高]
积分500-1500。
1.蠕虫传播且提供了蠕虫传播的链接等相关线索
2.用户身份信息大规模被窃取且提供了攻击代码等相关线索
[中]
积分50-150
能够帮助完善防御系统以防御高风险及以上级别危害的新型攻击方式、技术等,例如新型 WebShell、DDoS 等攻击方式
[低]
积分5-50。
1.反垃圾、反盗号策略被破解
2.攻击者相关信息
注:同一条威胁情报,第一个报告者得分,其他报告者不得分;提交网上已公开的威胁情报不得分;对于高危严重的漏洞,需要提供完整的漏洞详情、渗透过程、利用方式以及造成的危害的证明。对于通用型的“0day”免疫期为一周,漏洞公布一周后提交该漏洞才正式生效。
所有等级漏洞或威胁情报,如涉及信息敏感等特殊原因,需经过审核组讨论达成共识,给予标准外金币奖励。
微博安全应急响应中心 2020.06.30
若有收获,就点个赞吧
0 人点赞
