挖财SRC漏洞评分标准以及测试范围V2.0

发布日期:2019/03/16

基本原则
  • 对于保护广大用户利益、帮助挖财旗下产品安全提升的白帽子黑客,我们十分非常欢迎并提供丰厚的奖励

  • 对同一地址同一类型漏洞最先报告者给予奖励,其他报告者均不记分,且不公开漏洞详情

  • 奖励仅适用于挖财旗下的产品和业务,并在本平台上提交的漏洞和威胁情报,在外部平台上提交做无效处理

  • 我们坚决反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害广大用户利益的黑客行为,包括但不限于利用漏洞盗取用户资料、入侵业务系统、修改、窃取或删除相关系统资料、恶意传播漏洞或数据等。对于发生上述行为的,我们有权追究其非法行为所应承担的法律责任


奖励制度及评分标准
  • 奖励制度:1积分=10人民币,特别活动可根据情况奖励翻倍

  • 评分标准:漏洞积分=漏洞系数*应用系数

  • 对接收的漏洞安全团队进行评审,根据漏洞出现的业务重要等级、危害程度分为严重、高危、中危、低危、忽略五个级别,每个级别涵盖的漏洞以及评分标准如下:

  • 漏洞系数:严重40-50,高危20-30,中危2-10,低危1-5,忽略0

  • 应用系数:一级业务10,二级业务5


  • 严重(40-50)

  1. 直接获取系统权限(线上服务器、生产网数据库)的漏洞。包括但不限于远程任意命令执行

  2. 任意文件上传获取Webshell并可执行、SQL注入获取系统权限、服务器解析漏洞并进行代码执行、文件包含漏洞等。

  3. 核心的业务逻辑漏洞,包括但不限于能够大量获取利益,造成公司、用户的利益损失


  • 高危(20-30):

  1. 严重的逻辑设计缺陷。包括但不限于无密码任意账号登陆、任意账号密码修改、绑定新手机号获取短信、绕过邮件验证直至获取对方帐号权限漏洞等。

  2. 严重的敏感信息泄露。包括但不限于严重的SQL注入、任意文件包含读取、注册用户帐号重要个人信息(如身份证、银行卡号)任意读取等。包括但不限于绕过验证直接访问重要系统后台、核心系统弱口令、SSH弱口令,数据库弱口令等。

  3. SSRF漏洞,可返回内网信息或权限。


  • 中危(2—10):

  1. 需要交互才能获取用户身份信息的漏洞。包括存储型XSS等。

  2. 普通逻辑设计缺陷。包括但不限于无限制短信的发送等。

  3. 非重点产品线、利用难度较大的SQL注入漏洞等。

  4. SSRF漏洞,无回显或部分回显,未能获取信息或权限。

  5. 公司核心业务源码泄漏(github)等


  • 低危(1-3):

  1. 一般信息泄露漏洞。包括但不限于路径泄露、SVN文件泄露、LOG文件泄露等。

  2. 无法利用或者难以利用的漏洞,包括但不限于反射型XSS和只能弹自己的XSS

  3. 公司重要业务源码泄漏(github)等 

  • 忽略(或奖励财宝宝存钱罐,挖财周边):

  1. 不涉及安全问题的bug。包括但不限于产品功能缺陷、页面乱码、样式混编等。

  2. 无法重现的漏洞、不能直接体现漏洞的其他问题。包括但不限于纯属用户猜测的问题。如果是产品bug质量问题,没安全风险,奖励挖财周边产品。

  3. CSRF类型暂时不收。



业务划分细则
  • 一级业务(应用系数10):

网站及相关站点:

挖财主站:wacai.com

理财:8.wacai.com

用户中心:user.wacai.com

支付中心:pay.wacai.com

挖财财米:caimitech.com

挖财基金:wacaijijin.com

APP:挖财宝、挖财记账理财、挖财基米等


  • 二级业务(应用系数5):

网站:

微记账:weijizhang.com

APP微记账

其他:挖财旗下产品二级域名,挖财各产品公众号及自行开发接口,采用的第三方sdk服务,云服务器,cdn等


特别提示:由于挖财SRC平台采用某开源系统进行修改,所以对SRC平台本身漏洞我们不提供现金奖励,积分最高不超过50。

我们更希望白帽子把测试重心放在挖财主营业务如门户、论坛、支付、充值、还款等重要业务场景。


原《挖财安全应急响应中心授权安全测试范围及流程v1.1》和《挖财安全应急响应中心漏洞评分标准v1.1》同时废止。


返回列表