https://bsrc.baidu.com/v2/#/announce/114
根据情报对公司整体业务的影响程度将漏洞等级分为【严重】、【高】、【中】、【低】、【忽略】五个等级。每个有效情报所得安全币数量=基础安全币*情报完整度。由BSRC结合情报的危害程度、影响范围等综合因素进行评级,并给予相应安全币,每种等级包含的评分标准及类型如下:
威胁情报等级说明:
【严重】
1. 针对核心业务系统的完整入侵证据或线索,能够帮助BSRC对入侵事件溯源分析、定位攻击者身份。
2. 重大0day漏洞。如操作系统或重要组件的未公开漏洞。
3. 能对百度营收产生重大影响的相关情报。如百度搜索、商业推广等相关的大规模作弊、牟利行为。
4. 对百度产品生态有重大直接影响的黑灰产情报(如大规模盗号事件的详细情报)。
【高危】
1. 针对非核心业务系统的完整入侵证据或线索,能够帮助BSRC对入侵事件溯源分析、定位攻击者身份。
2. 能对百度营收产生较大直接影响的相关情报。
3. 对百度产品生态有较大直接影响的黑灰产情报。
【中危】
1. 对特定业务营收产生较大直接影响的相关情报。
2. 对百度产品生态有一定直接影响,或对特定业务有较大直接影响的黑灰产情报。如针对贴吧等UGC产品的垃圾内容作弊情报。
【低危】
1. 少量的作弊线索、黑灰产人员组织结构等相关信息。
2. 有一定影响的作弊手法。
【忽略】
1. 不能证实、或人为制造的等虚假或无效威胁情报。
2. BSRC已知的威胁情报信息。
3. 不构成实际危害的情报信息。
【情报收取说明】
i. 我们鼓励提交尽量完整的情报信息,情报信息的完整度及危害程度将直接影响情报得分及漏洞评级。完整性基本信息参考5W 1H原则(Why What Who When Where How),即应说明何种人群在何时出于何种目的通过何种行为/业务进行谋取何种利益/危害行为。完整性低的信息泄露将可能不被视作有效的威胁情报。
ii. 同一情报最早提交者得分;无有效信息的威胁情报不计分;无法证实或伪造的威胁情报不计分;BSRC已掌握的威胁情报不计分
iii.我们鼓励发现如:百度UGC社区相关的恶意删帖、批量发黄反赌毒等恶意内容;百度账号相关的账号或个人信息泄露、恶意注册马甲号、撞库、恶意申诉等行为;百度推广广告相关账号安全、恶意推广、虚假推广等黑灰色产业链;新兴业务中的黑灰产威胁等但不限于上述业务的完整可靠有价值的安全情报。
若有收获,就点个赞吧
0 人点赞
