挖财安全应急响应中心漏洞评分标准v1.1

发布日期:2018/08/15

【基本原则】

  • 我们对于保护广大用户利益,帮助挖财旗下产品安全提升的白帽子黑客,给予非常的感谢并提供丰厚的奖励。

  • 目前对同一地址同一类型漏洞最先报告者给予奖励,其他报告者均不记分,并且不公开漏洞详情。

  • 奖励仅适用于挖财旗下的产品和业务,并在本平台上提交的漏洞和威胁情报,在外部平台上提交做无效处理。

  • 我们坚决反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害广大用户利益的黑客行为,包括但不限于利用漏洞盗取用户资料、入侵业务系统、修改、窃取或删除相关系统资料、恶意传播漏洞或数据等。对于发生上述行为的,我们有权追究其非法行为所应承担的法律责任。


【处理流程及奖励制度】

奖励制度:1积分=10人民币,活动日运营可根据情况翻倍奖励

评分标准:漏洞积分=漏洞系数*应用系数

对接收的漏洞安全团队进行评审,根据漏洞出现的业务重要等级,危害程度分为严重、高危、中危、低危、忽略五个级别,每个级别涵盖的漏洞以及评分标准如下:

漏洞系数:严重40-50,高危20-30,中危5-20,低危1-5,忽略0

应用系数:核心业务10,一般业务5

  • 严重(40-50)

  1. 直接获取系统权限(线上服务器、生产网数据库)的漏洞。包括但不限于远程任意命令执行

  2. 任意文件上传获取Webshell并可执行、SQL注入获取系统权限、服务器解析漏洞并进行代码执行、文件包含漏洞等。

  3. 核心的业务逻辑漏洞,包括但不限于能够大量获取利益,造成公司、用户的利益损失

  • 高危(20-30):

  1. 严重的逻辑设计缺陷。包括但不限于无密码任意账号登陆、任意账号密码修改、绑定新手机号获取短信、绕过邮件验证直至获取对方帐号权限漏洞等。

  2. 严重的敏感信息泄露。包括但不限于严重的SQL注入、任意文件包含读取、注册用户帐号重要个人信息(如身份证、银行卡号)任意读取等。包括但不限于绕过验证直接访问重要系统后台、核心系统弱口令、SSH弱口令,数据库弱口令等。

  3. SSRF漏洞,可返回内网信息或权限。 

  • 中危(520积分):

  1. 需要交互才能获取用户身份信息的漏洞。包括存储型XSS等。

  2. 普通逻辑设计缺陷。包括但不限于无限制短信的发送等。

  3. 非重点产品线、利用难度较大的SQL注入漏洞等。

  4. SSRF漏洞,无回显或部分回显,未能获取信息或权限。

  5. 公司核心业务源码泄漏(github)等

  • 低危(1-5积分):

  1. 一般信息泄露漏洞。包括但不限于路径泄露、SVN文件泄露、LOG文件泄露等。

  2. 无法利用或者难以利用的漏洞,包括但不限于反射型XSS和只能弹自己的XSS

  3. 公司重要业务源码泄漏(github)等 

  • 忽略(或奖励财宝宝存钱罐,挖财周边):

  1. 不涉及安全问题的bug。包括但不限于产品功能缺陷、页面乱码、样式混编等。

  2. 无法重现的漏洞、不能直接体现漏洞的其他问题。包括但不限于纯属用户猜测的问题。如果是产品bug质量问题,没安全风险,奖励挖财周边产品。


【业务划分细则】
  • 核心业务(应用系数10):

  1. 网站:挖财主站(wacai.com),理财(8.wacai.com)及用户中心(user.wacai.com)相关、支付中心(pay.wacai.com

  2. APP:挖财宝、挖财记账理财

  3. 挖财基金

  4. 挖财信用卡之窗主站和社区(http://www.creditcard.com.cn)、挖财信用卡管家及app。


  • 一般业务(应用系数5):

  1. 闪电公积金,社保掌上通

  2. 钱堂社区(http://bbs.wacai.com)

  3. 圈子账本、微记账

  4. 挖财钱管家、富数等

  5. 挖财旗下产品二级域名,挖财各产品公众号及自行开发接口,采用的第三方sdk服务,云服务器,cdn


注:挖财安全应急响应中心漏洞评分标准v1.0 同时废止。


特别提示:本平台由于采用的某开源系统进行修改,对本SRC平台漏洞我们不提供现金奖励。

我们更希望白帽子把测试重心放在挖财主营业务如门户、论坛、支付、充值、还款等重要业务场景。


返回列表