【漏洞评分和奖励标准】深信服SRC评分和奖励标准说明(试行版)

作者:Sangfor公布时间:2020/04/06

【SSRC介绍】

深信服安全应急响应中心(Sangfor Security Response Center,以下简称SSRC,https://security.sangfor.com.cn/)是用于提交深信服相关漏洞及威胁情报,欢迎专注于网络安全的个人、组织以及公司能够积极反馈深信服产品存在的安全问题,帮助我们提升产品的品质及保障用户业务的高安全性。

【基本原则】

1、我们非常重视自身产品和产品效果的安全问题,我们针对每一位白帽子反馈的问题都会有专人进行分析、跟进和处理,对于书写完整的安全漏洞报告并协助深信服安全工程师更快响应修复的用户,深信服真诚表示感谢并承诺给予相应的报酬回馈。。
2、我们希望通过此平台与白帽子、安全研究者建立良好的互动关系,安全行业的发展离不开业界各方的共同合作,欢迎白帽子、安全组织和安全研究者加入到深信服的安全生态中,共同为网络安全事业保驾护航。
3、我们严禁一切以漏洞测试为借口,利用安全漏洞进行破坏、损坏用户利益的黑客攻击行为,包括但不限于利用漏洞入侵业务系统、窃取敏感数据、恶意传播漏洞、暗藏木马后门以及不完整上报等。

【漏洞/情报处理流程】

1、报告阶段:报告者注册并登录SSRC平台,提交相关信息(状态:待审核)。
2、处理阶段:一个工作日内,SSRC审核人员会确认收到的报告并跟进处理(状态:审核中),三个工作日内会给出结论并计分(状态:已确认/已忽略),必要时会与报告者沟通确认,请报告者予以协助。对于不符合本协议的报告,SFSRC有权给予降级或忽略处理。若后续补充说明或重新提交,则可以重新审核并定级。
3、修复阶段:针对安全漏洞、安全情报,业务/产品部门修复并安排更新上线,修复时限根据实际情况而定,比如:安全情报分析调查的时间较长,因此确认周期相比漏洞的时间较长。
4、完成阶段:SFSRC处理完成后,更新处理状态,报告者可获得现金奖励(购物卡)和积分奖励,报告者可通过积分在SFSRC平台兑换礼品。

【安全漏洞评级标准】

积分公式计算:基础值✖应用系数

图片.png

【低中高危判定】

低危
1.轻微信息泄露,包括但不限于路径信息泄露、SVN信息泄露、phpinfo、日志文件、配置信息等
2.本地拒绝服务,包括但不限于客户端本地拒绝服务等引起的问题。
3.可能存在安全隐患但利用成本很高的漏洞,包括但不限于需要用户连续交互的敏感安全漏洞。如反射型xss csrf crlf jsonp 等
4.其它影响较低的漏洞,包括但不限于url跳转、spf记录不规范、目录遍历、普通恶意用户注册、影响较小逻辑设计缺陷和流程缺陷、未涉及到etc/passwd任意文件下载等

中危
1.不需交互对用户产生危害的安全漏洞,包括但不限于一般页面存储型XSS、涉及敏感操作的csrf、不可解析的任意文件上传、可撞库爆破、绕过验证码的恶意注册以及爆破登陆等。
2.信息泄露漏洞,包括但不限于用户信息泄露和业务敏感信息等。
3.逻辑设计缺陷和流程缺陷,包括但不限于越权查看系统的订单信息、记录等。
4.其他造成中度影响的漏洞,例如:没有敏感信息的SQL注入、无法回显的SSRF漏洞等。

高危
1.敏感数据信息泄露漏洞,包括但不限于重要用户信息、配置信息、数据文件信息等。
2.逻辑漏洞,包括但不限于权限绕过、流程缺陷造成的任意密码修改、越权实现访问敏感信息或重要操作等。
3.未授权访问,包括但不仅限于绕过认证直接访问管理后台、后台弱密码、管理员密码泄露、任意文件下载造成源码泄漏、可直接获取大量内网敏感信息的SSRF等。
4.影响应用服务正常运转,包括但不限于应用层拒绝服务等。

严重
1.包括但不限于上传Webshell、任意代码执行、远程命令执行等。
2.严重的信息泄露漏洞,包括但不限于重要数据库的SQL注入、系统权限控制不严格等导致的敏感数据泄露漏洞等。
3.具有严重影响的逻辑漏洞,包括但不限于核心账户体系的账密校验逻辑、支付逻辑漏洞等。


注:凡涉及到绕过AF防护(一般涉及到注入上传)、漏洞影响到大量用户、触及核心内网网段,应用系数均提高一个等级。凡涉及到内网登录,或者需要严格登录权限,应用系数或危险等级相应降低。


【评级标准补充说明】

1、评分标准仅针对在SFSRC平台提交的对深信服相关产品和业务有危害的安全漏洞/情报,在漏洞/情报为处理完成前公开,不计分。
2、以安全测试为借口,利用漏洞进行损坏深信服/用户利益、影响业务正常运作、私自公开、盗取用户数据等行为的,将不会计分,同时深信服保留采取法律行动的权利。
3、同一漏洞源的多个漏洞,以最高级别的漏洞奖励标准执行,数量记一个。
4、同一漏洞/情报重复被提交,我们将以最先提交且清晰表达、重现此问题的报告者为唯一奖励者。
5、各漏洞/情报的最终得分有危害大小、利用难易以及影响范围综合考虑决定。
6、拒绝无实际危害证明的扫描器结果。

7、本规范的最终解释权归深信服安全应急响应中心所有。

 【奖励发放说明】

1、礼品于每月月底统一寄送,如未能及时完善个人信息导致的延误将顺延至下月发放。如因兑换者个人过失、快递公司问题以及人力不可抗拒因素产生的奖品损坏或丢失,SFSRC不承担责任。
2、我们将不定期的举办特殊活动,发放对应活动奖励,对于价值较高的漏洞/情报,将发放额外奖励。

【争议解决办法】

本规范适用于处理SFSRC反馈平台所收到的安全漏洞及安全情报信息。

平台对于每一份安全漏洞报告都会安排专人进行跟进、分析和处理,并及时给予用户答复。

如果您对本流程有任何建议,欢迎通过以下两种方式和我们联系:

  1. 向“深信服安全应急响应中心”服务号留言;

  2. 直接将反馈发送到官方邮箱;

  3. 官方邮箱:anquan@sangfor.com.cn