距离上次评分规则的更新已接近两年,这两年来,我们将所有收集到的来自白帽子的反馈、争议进行整理分析,不断求取白帽子和同行意见,反复修改。今天,规则7.0—http://security.jd.com/static/JSRC-V7.0.pdf 终于出炉啦,感谢对此规则给予过建议的朋友,在此要特别感谢M、曲子龙、黑色键盘、mmmark、R、g0ku对本规则的大力帮助。
    此次**JSRC-V7.0版规则,针对如下内容进行了细化更新
    1)     域名范围:新增京东物流、京东安联、京东云配及京东IoT等域名
    2)     京东云业务:明确了京东云业务的收取范围及规则(详见3.1.1)
    3)     Web中低危漏洞的收取细则(详见3.2)
    4)     威胁情报:步骤、流程和收取场景的更新(详见3.3)
    5)     新设IoT设备漏洞评分标准(详见3.4)
    6)     **通用原则
    a.同一系统只收取前三个接口产生的同类型漏洞,收取漏洞时限为3个月(详见通用原则第5条)
    b.特殊时期、特殊权限才可发现利用的漏洞,审核可能跨等级调整积分(详见通用原则第6条)
    c.明确非京东商城发布的产品和业务的收取规则(详见通用原则第7条)
    d.禁止使用非本人账号测试(详见通用原则第11条)
    e.威胁情报收取细则(详见通用原则第12条)
    d.明确SQL注入与webshell的测试规范(详见通用原则第14-15条)

    为了方便大家查阅,我们提供了评分细则的精简版:
    一、安全威胁评分说明
    JSRC 威胁报告主要包含 web/客户端漏洞、威胁情报、通用组件和插件漏洞四个报告内容,下面会对每个部分的规则做评分说明。
    根据威胁对业务产生的安全风险,威胁分为严重、高危、中危、低危、无影响(忽略)五个等级。
    京东相关业务,根据业务重要程度分为:核心业务、一般业务、边缘业务
    【核心业务】:涉及京东支付系统、京东账户系统、京东用户敏感信息、订单详细信息的相关平台或网站。
    【一般业务】:涉及京东运营数据、物流统计信息数据及商家业务数据的网站。
    【边缘业务】:涉及合作商家网站、商家营销后台,及非支付功能的网站/平台。
    安京东安全应急响应中心漏洞反馈处理流程说明V7.0 - 图1

    特殊现金奖励漏洞:核心业务涉及重要数据和影响巨大的安全问题(可以是漏洞、情报或者通用组件或插件漏洞),由JSRC评定后会奖励1-50万人民币,该奖励会不定期做评定和发布
    漏洞报告打赏:对于漏洞描述详细、报告内容完整、思路清晰的漏洞报告,审核人员将对报告者 进行奖励(奖励分数范围 10-100,加分项请参考 2.5 威胁报告质量评判标准)
    京东云业务收取原则:
    1、京东云业务系统按京东相关业务漏洞标准收取;
    2、如下第三方业务及SaaS类业务评分上可能根据对京东的影响做【降分或降级】,等级不超过边缘【中】处理。:云市场、教育云、产业云、城市云、县域之窗;
    3、京东云租户只收取涉及京东及京东商家,涉及京东数据的漏洞;

    二、Web/客户端漏洞报告评审标准
    严重漏洞:
    1) 直接获取核心系统权限(服务器端权限、客户端权限)的漏洞。包括但不限于:命令注入、远程命令执行、上传获取 WebShell、SQL 注入获取核心系统权限、缓冲区溢出(包括可利用的 ActiveX 缓冲区溢出)。
    2) 直接导致核心业务拒绝服务的漏洞。包括通过该远程拒绝服务漏洞直接导致线上核心应用、系统、服务器无法继续提供服务的漏洞。
    3) 核心业务的严重逻辑设计缺陷和流程缺陷。包括但不限于任意账号登录和密码修改、任意账号资金消费、特大量订单详细泄露、核心支付系统支付交易流程的漏洞。
    4) 严重级别的敏感信息泄露。包括但不限于核心 DB 的 SQL 注入漏洞、包含公司、用户敏感数据的接口引发的信息泄露。
    高危漏洞
    1) 直接获取一般系统权限(服务器端权限、客户端权限)的漏洞。包括但不限于:命令注入、远程命令执行、上传获取 WebShell、SQL 注入获取系统权限、缓冲区溢出(包括可利用的 ActiveX 缓冲区溢出)。
    2) 核心系统越权执行敏感操作。包括但不限于绕过认证直接访问管理后台可操作、核心业务未授权访问、 核心业务后台弱密码,增删查改任意用户敏感信息或状态等核心交互的越权行为。
    3) 敏感信息泄漏漏洞。包括但不限于源代码压缩包泄漏、越权或者直接获取大量用户、员工信息。
    4) 涉及京东账号系统的暴力破解漏洞。
    5) 可远程获取客户端权限的漏洞。包括但不限于远程任意命令执行、可进内网获取数据的 SSRF、远程缓冲区溢出及其它逻辑问题导致的客户端漏洞。核心系统重要页面的存储型 XSS(包括存储型 DOM-XSS)以及可获取核心 cookie 等敏感信息且具有传播性的各种 XSS。
    中危漏洞
    1) 普通信息泄露。包括但不限于未涉及敏感数据的 SQL 注入、影响数据量有限或者敏感程度有限的越权、源代码或系统日志等信息泄露。
    2) 需受害者交互或其他前置条件才能获取用户身份信息的漏洞。包括但不限于包含用户、网站敏感数据的 JSON Hijacking、重要业务操作(如支付类操作、修改个人账号敏感信息类操作)的 CSRF、一般业务存储型 XSS。
    3) 普通的逻辑缺陷和越权。包括但不限于一般业务系统的越权行为和设计缺陷,以及对经济价值影响较小的漏洞(如少量返利/京豆等)。
    4) 可攻击管理后台的 XSS 类攻击(需提供前台攻击位置,定位风险)。
    低危漏洞
    1) 轻微信息泄露,包括但不限于路径、SVN 信息泄露、PHPinfo、异常和含有少量敏感字段的调试信息,本地 SQL 注入、日志打印及配置等泄露情况。
    2) 只在特定情况之下才能获取用户信息的漏洞,包括但不限于反射 XSS(包括 DOM 型)、边缘业务的存储 XSS。
    3) 利用场景有限的漏洞,包括但不限于短信、邮箱炸弹,URL跳转,非京东账户系统的可撞库接口等。包括不涉及京东账号系统的暴力破解漏洞或涉及京东账户系统的可撞库接口
    4) 利用有难度但存在安全隐患的漏洞,包括但不限于可引起传播的 Self-XSS,登录接口缺陷,敏感操作但利用条件苛刻的 CSRF。
    无危害(忽略):
    1) 无法利用/无实际危害的漏洞。包括但不限于 不可利用的 Self-XSS(无法分享给其他账号访问/未收到后台记录)、非重要交互(如查询类操作)的 CSRF、静态文件目录遍历、401 认证钓鱼、内网 IP/域名、无敏感信息(如用户昵称、用户个人公开的信息、已脱敏的敏感信息等)的 JSON Hijacking 、横向短信轰炸等;
    2) 不能重现的漏洞。包括但不限于经 JSRC 审核者多次确认无法重现的漏洞;
    3) 内部已知、正在处理的漏洞,包括但不限于如 Discuz!等已在其他平台公开通用的,白帽子、内部已发现的漏洞;
    4) 内部存在审核机制的提交接口所涉及的 CSRF、越权提交等漏洞;
    5) 非接收范围或内的漏洞,如非京东业务的安全漏洞;
    6) 实际业务安全性无影响的 Bug。包括但不限于产品功能缺陷、页面乱码、样式混乱;
    7) 不接收无实际意义的扫描器结果报告;
    8) 无证据支持的情况,包括但不限于账号被盗即表示有漏洞;

    三、__威胁反馈与处理流程
    安京东安全应急响应中心漏洞反馈处理流程说明V7.0 - 图2
    四、__通用原则:
    1. 威胁报告禁止保存在互联网开放的云服务中(包括但不限于云盘、云笔记等),因漏洞报告内容保存于云服务导致的漏洞泄露风险一经确认,当前报告不计分;
    2. 威胁报告提交后在未修复前,主动公开的报告不计分;
    3. 同一威胁报告(包括情报、通用组件和插件)最早提交者得分,提交网上已公开的报告不计分。
    4. 当多份威胁报告(安全漏洞、情报、通用组件和插件)有相似之处,JSRC 工作人员分析发现是由于同一处问题导致时,该情况只有最早提交者得分;
    5. 同一漏洞导致的多个利用点按照级别最高的奖励执行; 同一系统只收取前三个接口产生的同类型漏洞,此条款收取漏洞时限为3个月。(如:同个 JS 引起的多个 XSS 漏洞、同接口多参数xss漏洞/sql注入漏洞统一处理,同一个发布系统引起的多个页面的 XSS 漏洞、通用框架导致的整站问题等);
    6. 各等级漏洞的最终积分由漏洞利用难度及影响范围等综合因素决定,若触发条件非常苛刻(如:特定浏览器才可触发的 XSS 漏洞),特殊时期(如双11活动内传播影响大的业务逻辑漏洞),需要特殊账号权限才能发现利用的漏洞,经审核可能跨等级调整积分;
    7. 对于非京东商城发布的产品和业务,如京东投资公司、子公司、合资公司等,评分上【降分或降级】,等级不超过中【中】,但会参考实际危害和影响做具体评级操作,其处理和修复不能保证在预定时间内,请报告者理解;
    8. 对于京东云合作业务,例如 http://cpsc.jcloud.com虽以 jcloud.com 为域名,但从页面标题及内容可明显辨别为非京东业务),此类威胁报告可能会根据业务影响降低评分(但涉及核心业务范围内的敏感数据,JSRC 工作人员会与业务方沟通后酌情评级处理);
    9. 对于京东云租户业务漏洞处理说明:平台对云租户漏洞不会给予积分奖励,但是义务性会把漏洞通知给租户;
    10. 报告者在进行渗透测试时,如在线上对业务做增删改操作时,请勿直接对正常用户数据做操作,数据添加请在标题或明显字段增加【我是测试】字样,以便于 JSRC 和业务方识别数据真实性;
    11. 未经授权的情况下,不允许使用非本人账号在系统内进行安全测试,禁止使用非本人账号进行功能操作/如添加权限等。可参考【SRC行业安全测试规范】。
    12. 威胁情报的定级根据提供信息完整度及影响综合评定。对于业务侧/风控已有感知的业务情报,将结合已知信息评定/忽略。对于多人提交同一情报的情况,根据情报丰富度判断是否再次收录,即后提交者的情报信息更完整详细也将予以奖励。在提交情报时,请尽可能详细完整。
    13. 以漏洞测试为借口,利用漏洞进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为在溯源发现后将不会计分,同时京东保留采取进一步法律行动的权利;
    14. SQL注入测试过程中,证明危害即可,获取十条以上数据者追究更加数据情况做出相应处理(取消奖励同时京东保留采取进一步法律行动的权利)。延时函数请勿使用大数,而对业务造成影响
    15. webshell的上传,上传输出语句即可,禁止上传webshell,或者提权等高危操作。
    16. 本协议最终解释权归京东集团信息安全部所有。
    17. 为方便业务修复,不同系统的漏洞建议分开提交
    18. 白帽子如需在漏洞修复后将技术细节用作学习交流,需经京东同意。
    19. 京东集团及京东所属公司员工不得参与漏洞奖励计划;
    20. 请通过正常渠道与工作人员交流反馈问题,对于一些没有证据或使用非正当手段进行诬陷、诽谤等行为,工作人员将适用法律手段维护权益。

    五、__奖励攻略
    1、“神兽”赋能
    每季度提交20个高质量漏洞(除边缘业务外),获得“麒麟”神兽助力,本季度严重/高危漏洞奖励2倍(不与活动奖励叠加)
    每季度提交10个高质量漏洞(除边缘业务外),获得“凤凰”神兽助力,本季度严重/高危漏洞奖励1.5倍(不与活动奖励叠加)
    2、 个人月度奖
    每获得一次月度前十便可获得一个【信物】
    年终累积获得3、6、9、12个信物可额外获得新春现金大红包+神秘礼盒,神秘礼盒将在JSRC微信公众号提前一个月预告。
    3、    个人季度奖
    安京东安全应急响应中心漏洞反馈处理流程说明V7.0 - 图3
    4、团队季度奖
    安京东安全应急响应中心漏洞反馈处理流程说明V7.0 - 图4
    5、个人/团队年度奖**
    以年度积分为参考,JSRC 将为年度内做出杰出贡献的白帽/安全团队,发放年度奖励。
    个人奖励评价标准:本年度内,个人贡献值位于个人年度荣誉榜前七,年度奖励金额以具体积分为参考
    (2019年数据仅供参考)
    第1名 120000
    第2名 80000
    第3名 60000
    第4-5名 30000
    第6-7名 10000
    团队奖励评价标准:在本年度内,团队内所有成员(人数> 3人)的总贡献值位于团队排行榜前三名,则可获得团队年度奖励,年度奖励金额以团队积分为参考。
    (2019年数据仅供参考)
    第1名 30000
    第2名 20000
    第3名 10000

    如果您对该流程有任何建议,欢迎发送邮件至sec-opt@jd.com,或联系京安小妹QQ:318455982。建议一经采纳,JSRC会送出专属礼品。