【漏洞评分和奖励标准】深信服SRC评级和奖励标准说明(正式版)

作者:Sangfor公布时间:2020/09/23

编写人:深信服安全应急响应中心

版本号:正式版

更新日期:2020-9-14

【深信服SRC介绍】

深信服安全应急响应中心(Sangfor Security Response Center,以下简称深信服SRChttps://security.sangfor.com.cn/)是用于提交深信服相关漏洞及威胁情报,欢迎专注于网络安全的个人、组织以及公司能够积极反馈深信服产品存在的安全问题,帮助我们提升产品的品质及保障用户业务的高安全性。

【基本原则】

1、我们非常重视自身产品和产品效果的安全问题,我们针对每一位白帽子反馈的问题都会有专人进行分析、跟进和处理,对于书写完整的安全漏洞报告并协助深信服安全工程师更快响应修复的用户,深信服真诚表示感谢并承诺给予相应的报酬回馈。

2、我们希望通过此平台与白帽子、安全研究者建立良好的互动关系,安全行业的发展离不开业界各方的共同合作,欢迎白帽子、安全组织和安全研究者加入到深信服的安全生态中,共同为网络安全事业保驾护航。

3、我们严禁一切以漏洞测试为借口,利用安全漏洞进行破坏、损坏用户利益的黑客攻击行为,包括但不限于利用漏洞入侵业务系统、窃取敏感数据、恶意传播漏洞、暗藏木马后门以及不完整上报等。

【漏洞/情报处理流程】

1报告阶段:报告者注册并登录深信服SRC平台,提交相关信息(状态:待审核)。

2处理阶段:一个工作日内,深信服SRC审核人员会确认收到的报告并跟进处理(状态:审核中),三个工作日内会给出结论并计分(状态:已确认/已忽略),必要时会与报告者沟通确认,请报告者予以协助。对于不符合本协议的报告,深信服SRC有权给予降级或忽略处理。若后续补充说明或重新提交,则可以重新审核并定级。

3修复阶段:针对安全漏洞、安全情报,业务/产品部门修复并安排更新上线,修复时限根据实际情况而定,比如:安全情报分析调查的时间较长,因此确认周期相比漏洞的时间较长。

4完成阶段:深信服SRC处理完成后,更新处理状态,报告者可获得金币奖励和积分奖励,报告者可通过积分在深信服SRC平台兑换礼品。

【漏洞提交说明】

1.所提交漏洞的名称请以“产品/业务网站+漏洞点+漏洞类型”。

2.漏洞报告中请务必附上以下信息:漏洞类型、漏洞利用前提条件、产品线漏洞请提供产品版本号/业务线漏洞请提供网址、设备特定配置等相关信息。

3.所有漏洞报告请附上完整的复现利用过程和说明。

4.同一漏洞不同产品线请分开提交,如为同源漏洞,请直接在漏洞报告中标注。

5.如果复现漏洞需要测试账号,比如越权类漏洞,建议尽量提供测试账号

以下是漏洞报告格式模板,可供参考:

一、漏洞环境信息:

1.漏洞URL/产品版本号

2.所需权限和测试账号:

权限:匿名/超级管理员/普通管理员等

账号1:用户名/密码

3.漏洞利用前置条件

 

二、漏洞利用过程证明

#清晰利用流程+截图或视频

#涉及所需的HTTP报文,请附上完整HTTP数据包报文

【安全漏洞评级标准】

奖励公式计算:基础值✖应用系数 1金币=10元)

图片.png

图1 安全漏洞评级标准表格图

【资产等级说明】

一、核心资产

1.深信服硬件盒子类产品: SSL VPN、上网行为管理(AC)、下一代防火墙(NGAF)、应用交付(AD)、终端检测响应(EDR)、企业级云(aCloud)、桌面云(VDI)、云图(XCentral)

2.信锐部分服务和部分产品:信锐云管家、信锐网络控制器(WAC、信锐云助手(此处针对不重合信锐云管家和WAC的部分

二、一般资产

1.公司海内外以及各个产品线官网,BBS主域;口袋助理主域;

2.信锐部分服务、产品等:信锐官网主域、信锐易部署、信锐物联(APP)、信锐EG网关、信锐物联网控制器、信锐交换机、信锐AP

三、边缘资产

除以上外深信服子域或者所属资产(可证明是我司资产)

注意:2020.9.23开始信锐资产的漏洞深信服SRC暂时不收录,信锐资产将进行修整,期间如发现恶意攻击,将进行严肃对待!谢谢合作~!

【漏洞评级说明】

一、严重

1.不需登录直接获取设备root权限的漏洞,包括但不限于上传Webshell、任意代码执行、远程命令执行等。

2.不需登录直接导致严重的信息泄露漏洞,包括但不限于重要数据库的SQL注入、系统权限控制不严格等导致的敏感数据泄露漏洞等。

3.不需登录直接导致严重影响的逻辑漏洞,包括但不限于核心账户体系的账密校验逻辑、支付逻辑漏洞等。

二、高危

1、需要登录的重要业务敏感数据信息泄露漏洞,包括但不限于重要用户信息、配置信息、数据文件信息等。

2、需要登录的重要业务的逻辑漏洞,包括但不限于权限绕过等。

3、包含重要业务敏感信息的非授权访问,包括但不仅限于绕过认证直接访问管理后台、后台弱密码、可直接获取大量内网敏感信息的SSRF等。

4、影响应用服务正常运转,包括但不限于应用层拒绝服务等。

三、中危

1、不需交互对用户产生危害的安全漏洞,包括但不限于一般页面存储型XSS等。

2、普通信息泄露漏洞,包括但不限于用户信息泄露和业务敏感信息泄露等。

3、普通的逻辑设计缺陷和流程缺陷,包括但不限于越权查看非核心系统的订单信息、记录等。

4、其他造成中度影响的漏洞,例如:没有敏感信息的SQL注入、无法回显的SSRF漏洞等。

四、低危

1、轻微信息泄露,包括但不限于路径信息泄露、SVN信息泄露、phpinfo、日志文件、配置信息等。

2、本地拒绝服务,包括但不限于客户端本地拒绝服务等引起的问题。

3、可能存在安全隐患但利用成本很高的漏洞,包括但不限于需要用户连续交互的敏感安全漏洞。例如:解析漏洞、可被暴力破解接口等。

五、无效

1、不涉及安全问题的bug,包括但不限于功能缺陷、网页乱码、样式混乱、静态文件遍历、应用兼容性等问题。

2、无法利用的漏洞,包括但不限于self-xss、无敏感操作的CSRF、无意义的异常堆栈、内网IP地址/域名泄露。

3、不能直接反映漏洞存在的其他问题,包括但不限于纯属猜测的问题。

【评级标准补充说明】

1、评分标准仅针对在SFSRC平台提交的对深信服相关产品和业务有危害的安全漏洞/情报,在漏洞/情报为处理完成前公开,不计分。

2、以安全测试为借口,利用漏洞进行损坏深信服/用户利益、影响业务正常运作、私自公开、盗取用户数据、拖取产品或者业务源代码等行为的,将不会计分,同时深信服保留采取法律行动的权利。

3、同一漏洞源的多个漏洞,以最高级别的漏洞奖励标准执行,数量记一个。

4、同一漏洞/情报重复被提交,我们将以最先提交且清晰表达、能够重现此问题的报告者为唯一金币奖励者;第二位重复提交该问题的人员将给予1积分,为后续进入SRC活动提供参加资格。

5、如所提交的漏洞与深信服内部发现的漏洞重复,则以漏洞的修复情况裁定是否进行奖励:若漏洞修复完毕并发布了相应补丁包或在发布的新版本中修复了该漏洞等类似能在公网上查询出该漏洞修复完毕信息的情况,则不再对提交者发放金币,并且仅对第一位提交者给予1积分奖励;反之,该漏洞算作内部已知漏洞,进行降级处理。

6、各漏洞/情报的最终得分有危害大小、利用难易以及影响范围综合考虑决定。

7、拒绝无实际危害证明的扫描器结果。

8、本规范的最终解释权归深信服安全应急响应中心所有。

注:已经此文发布之前漏洞评级均不再更改,更新后的新标准2020-9-14号执行(主要是信锐资产)

【奖励发放原则】

1、平台支持实时兑换奖励,我们会在一到两周之内完成兑换流程,如未能及时完善个人信息导致的延误将顺延至下周发放。如因兑换者个人过失、快递公司问题以及人力不可抗拒因素产生的奖品损坏或丢失,深信服SRC不承担责任。

2、我们将不定期的举办特殊活动,发放对应活动奖励,对于价值较高的漏洞/情报,将发放额外奖励。

【争议解决办法】

本规范适用于处理深信服SRC反馈平台所收到的安全漏洞及安全情报信息。

平台对于每一份安全漏洞报告都会安排专人进行跟进、分析和处理,并及时给予用户答复。

如果您对本流程有任何建议,欢迎通过以下方式和我们联系:

1.向“深信服安全应急响应中心”服务号留言;

2.直接将反馈发送到官方邮箱,官方邮箱:anquan@sangfor.com.cn

3.进入“深信服安全应急响应中心”反馈;

4.进入官方微信群联系深信服SRC进行反馈