PDF《V5.0》

百度安全应急响应中心漏洞奖励细节 V5.

0 版本号 修订内容 发布日期 V2.0 发布第一版 2013-07-25 V3.0 更新评分标准;

更新奖品发放流程 2015-01-23 V4.0 (试用版) 更新漏洞评分体系;

新增【严重】级别漏洞评分标 准;

全面提升漏洞奖励力度;

明确高质量漏洞奖励 规则 2015-11-04 V4.0 (正式版) 优化漏洞评分体系;

完善漏洞评分处理细则;

取消 季度奖励评选;

新增月度前三现金奖励计划 2016-03-01 V4.1 提升安全币奖励系数;

增加优秀团队奖励计划;

优 化漏洞评分通用原则 2017-04-01 V5.0 增加百度业务等级系数列表;

新增威胁情报评分标 准;

优化优质漏洞奖励计划;

优化漏洞评分通用原 则;

优化评分标准特殊情况声明;

优化 FAQ 2018-11-01 目录

一、 适用范围.1

二、 实施日期.1

三、 漏洞提交与反馈流程.2

四、 安全漏洞评分标准.2

五、 威胁情报评分标准.7

六、 奖励发放原则.9

七、 现金奖励计划.10

八、 评分标准特殊情况声明.13

九、 争议解决办法.15

十、 FAQ.15

一、 适用范围 1. 本流程适用于百度漏洞反馈平台(sec.baidu.com 或bsrc.baidu.com)所收到的安全漏洞报告.

2 . 评分标准仅适用于百度所有产品和服务,域名包括但不限于*.baidu.com、hao123.com 等. 3. 同一漏洞最早提交者得分;

在其它平台上提交过的不计分;

与百度完全无关的漏洞不计分;

提交外 界已经公开的漏洞不计分.

二、 实施日期 BSRC 综合各方用户反馈及专家建议,对V5.0 进行重新修订整理,包括明确百度业务等级系数,提升 优质漏洞奖励,优化漏洞评分通用原则,并于

2018 年11 月1日正式执行 V5.0. 如果您对本流程有任何的建议,欢迎通过邮箱 security@baidu.com;

微信私信@百度安全应急响应 中心(微信号 baidu_sec) ;

或者通过 QQ 群567476227 留言的方式向我们反馈.建议一经采纳, BSRC 会送出专属定制礼品.

三、 漏洞提交与反馈流程

四、 安全漏洞评分标准 根据漏洞对公司整体业务的影响程度将漏洞等级分为【严重】 、 【高】 、 【中】 、 【低】 、 【忽略】五个等级. 每个漏洞所得安全币数量=基础安全币*业务等级系数.由BSRC 结合利用场景中漏洞的严重程度、利 用难度、影响范围等综合因素进行漏洞评级,并给予相应安全币,每种等级包含的评分标准及漏洞类 型如下: 基础安全币 严重 高危 中危 低危 忽略 业务等级系数 (135-160) (45-60) (8-12) (1-5)

0 945-1600 315-600 56-120 7-50

0 270-960 90-360 16-72 2-30

0 135-160 45-60 8-12 1-5

0 高(7-10) 中(2-6) 低14.1 业务等级系数说明 业务等级系数是按照百度业务线及产品的重要性来进行划分的,分为高中低三个等级,每个等级有对 应的系数范围. 注:此业务等级系数仅代表 BSRC 对具体安全问题的评分参考标准. 高业务等级产品线【本等级对应系数为 7~10】主要是包括但不限于百度战略级业务及产品线的核心 域名、IP 及客户端,如: ? 百度搜索(www.baidu.com、m.baidu.com 等) ? 百度帐号系统(passport.baidu.com) ? 百度推广 ? 百度无人车 ? 百度 DuerOS ? 百度云 ? 百度 APP 中业务等级产品线【本等级对应系数为 2~6】主要是百度重要业务产品线的域名、IP 及客户端,包括 但不限于: ? 高等级业务的边缘业务线 ? 百度社区服务相关产品线,如百度贴吧、百度知道、百度百科等 ? 百度移动服务相关产品线,如百度输入法、百度手机卫士等 ? 百度站长与开发者服务相关产品线,如百度统计、百度指数等 ? 百度软件工具,如百度 hi 等 低业务等级产品线【本等级对应系数为 1】主要是除高业务等级、中业务等级以外的其他业务及产品 线、百度拆分业务(子公司业务、孵化业务或已出售业务,但仍在过渡期或有合作关系,百度不参与 业务运营,但该业务仍在使用百度品牌或域名) ,包括但不限于: ? 百度音乐 ? 百度金融 ? 百度游戏 ? 百度视频 ? 百度文学 备注:若目标系统是核心产品线的边缘业务(例如百度地图的某个边缘业务) ,并且不能获取敏感或有 价值数的数据,则业务等级系数降一级(即由核心业务等级降为一般业务等级) .敏感数据包括但不仅 限于大量用户数据、交易数据,或可以引起直接风险的敏感数据.且测试过程中不得获取数据,如确 有必要,不得超过

10 条;

严禁大规模遍历数据的行为 4.2 【 严重 】 核心系统应用中的高危漏洞, 业务等级系数【1-10 】,基础安全币【135~160 】, 本等级包括: 1. 直接获取核心系统权限的漏洞(服务器权限、PC 客户端权限).包括但不仅限于重要业务的:远 程命令执行、任意代码执行、上传获取 Webshell、SQL 注入获取系统权限,重要产品客户端缓冲 区溢出(包括可利用的 ActiveX 缓冲区溢出).(注:核心系统例如 百度 passport 服务器) 2. 直接导致核心系统业务拒绝服务的漏洞.包括但不仅限于直接导致移动网关业务 API 业务拒绝服 务、网站应用拒绝服务等造成严重影响的远程拒绝服务漏洞(例如可造成删除 war 包导致站点无 法访问). 3. 核心系统的严重敏感信息泄漏. 包括但不仅限于核心 DB (用户信息、 交易信息) 的SQL 注入, 可获取大量用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露. 4. 核心系统中严重的逻辑设计缺陷和流程缺陷.包括但不仅限于通过业务接口批量发送任意伪造消 息、任意账号资金消费、批量修改任意帐号密码漏洞. 【 高】非核心系统中的高危漏洞,或核心系统中的一般漏洞,业务等级系数【1-10】, 基本安全 币【45-60】,本等级包括: 1. 属于严重级别中所描述的漏洞类型,但是产生在非核心系统中的漏洞(例如非核心系统的远程任 意命令执行、可dump 出数据的 SQL 注入),以及移动端 App 命令执行类漏洞(例如 Android WebView 远程代码执行漏洞) 2. 访问任意系统文件的漏洞,包括但不限于任意文件包含、任意文件读取. 3. 其它敏感信息泄漏.包括但不限于源代码压缩包泄漏、UC-Key 泄露、HEARTBLEED 漏洞等.同 时包括通过 SVN 信息泄漏、Git 信息泄露导致的重要产品线源码泄露. 4. 包含敏感信息的非授权访问.包括但不仅限于绕过认证直接访问管理后台、后台弱密码、可直接 获取大量内网敏感信息的 SSRF. 5. 包含敏感信息的越权操作及核心系统的越权操作.包括但不仅限于越权修改其他用户重要信息、 进行订单操作、重要业务配置修改等较为重要的越权行为. 6. 大范围影响用户的其他漏洞.包括但不仅限于可造成自动传播的重要页面的存储型 XSS(包括存 储型 DOM-XSS)和涉及交易、重要操作的 CSRF,以及可获取 BDUSS 等敏感信息的各种 XSS. 【 中】业务等级系数【1-10】,基础安全币【8 -12 】,本等级包括: 1. 需交互方可影响用户的漏洞.包括但不仅限于一般页面的存储型 XSS. 2. 普通越权操作.包括但不仅限于越权查看非核心系统的订单信息、记录等.影响业务运行的 Broadcast 消息伪造等 Android 组件权限漏洞等. 3. 普通信息泄漏.包括但不仅限于客户端明文存储密码、客户端密码明文传输以及 web 路径遍历、 系统路径遍历. 4. 普通的逻辑设计缺陷和流程缺陷.(例如绕过实名认证) 5. 其他造成中度影响的漏洞,例如:解析漏洞、目录遍历漏洞、管理后台对外 【 低 】业务等级系数【1-10 】,基础安全币【1 -5 】,本等级包括: 1. 本地拒绝服务漏洞. 包括但不仅限于客户端本地拒绝服务 (解析文件格式、 网络协议产生的崩溃) , 由Android 组件权限暴露、普通应用权限引起的问题等. 2. 轻微信息泄漏.包括但不仅限于路径信息泄漏、非核心系统的 SVN 信息泄漏、PHPinfo、异常信 息泄露,以及客户端应用本地 SQL 注入(仅泄漏数据库名称、字段名、cache 内容)、日志打印、 配置信息、异常信息等. 3. 难以利用但存在安全隐患的漏洞.包括但不仅限于难以利用的 SQL 注入点、可引起传播和利用的 Self-XSS、需构造部分参数且有一定影响的 CSRF. 4. 其他只能造成轻微影响的漏洞,反射型 XSS(包括反射型 DOM-XSS)、普通 CSRF、URL 跳转 漏洞.例如:CRLF 漏洞、URL 跳转、Crossdomain.xml 配置问题. 【 无危害 】 基础安全币【0】,本等级包括: 1. 不涉及安全问题的 Bug.包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍 历、应用兼容性等问题. 2. 无法利用的缺陷.包括但不仅限于 Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网IP 地址/域名泄漏. 3. 任何无敏感信息的信息泄露(例如无敏感信息的 json hijacking、仅有 js、img 等的打包文件、 一般信息的 logcat、包含内网 ip/域名的页面)等. 4. 无法重现的漏洞、只有 简要概述 的漏洞、不能直接体现漏洞的其他问题.包括但不限于纯属 用户猜测、未经过验证的问题、无实际危害证明的扫描器结果.

五、 威胁情报评分标准 根据情报对公司整体业务的影响程度将漏洞等级分为【严重】 、 【高】 、 【中】 、 【低】 、 【忽略】五个等级. 每个有效情报所得安全币数量=基础安全币*情报完整度.由BSRC 结合情报的危害程度、影响范围等 综合因素进行评级,并给予相应安全币,每种等级包含的评分标准及类型如下: 5.1 威胁情报等级说明 【严重】 1. 针对核心业务系统的完整入侵证据或线索,能够帮助 BSRC 对入侵事件溯源分析、定位攻击者身 份. 2. 重大 0day 漏洞.如操作系统或重要组件的未公开漏洞. 3. 能对百度营收产生重大影响的相关情报. 如百度搜索、 商业推广等相关的大规模作弊、 牟利行为. 4. 对百度产品生态有重大直接影响的黑灰产情报(如大规模盗号事件的详细情报). 【高危】 1. 针对非核心业务系统的完整入侵证据或线索,能够帮助 BSRC 对入侵事件溯源分析、定位攻击者 身份. 2. 能对百度营收产生较大直接影响的相关情报. 3. 对百度产品生态有较大直接影响的黑灰产情报. 【中危】 1. 对特定业务营收产生较大直接影响的相关情报. 2. 对百度产品生态有一定直接影响, 或对特定业务有较大直接影响的黑灰产情报. 如针对贴吧等 UGC 产品的垃圾内容作弊情报. 【低危】 1. 少量的作弊线索、黑灰产人员组织结构等相关信息. 2. 有一定影响的作弊手法. 【忽略】 1. 不能证实、或人为制造的等虚假或无效威胁情报. 2. BSRC 已知的威胁情报信息. 3. 不构成实际危害的情报信息. 【情报收取说明】 i. 我们鼓励提交尽量完整的情报信息,情报信息的完整度及危害程度将直接影响情报得分及漏洞评级. 完整性基本信息参考 5W 1H 原则(Why What Who When Where How),即应说明何种人群在何 时出于何种目的通过何种行为/业务进行谋取何种利益/危害行为.完整性低的信息泄露将可能不被视 作有效的威胁情报. ii. 同一情报最早提交者得分;

无有效信息的威胁情报不计分;

无法证实或伪造的威胁情报不计分;

BSRC 已掌握的威胁情报不计分 iii. 我们鼓励发现如:百度 UGC 社区相关的恶意删帖、批量发黄反赌毒等恶意内容;

百度账号相关的账 号或个人信息泄露、恶意注册马甲号、撞库、恶意申诉等行为;

百度推广广告相关账号安全、恶意推 广、虚假推广等黑灰色产业链;

新兴业务中的黑灰产威胁等但不限于上述业务的完整可靠有价值的安 全情报.

六、 奖励发放原则 安全币用于但不仅限于礼品商城兑换礼品 漏洞报告者通过报告漏洞获得安全币, 是用于 BSRC 礼品商城兑换的一种虚拟货币, 安全币数量=基础 安全币*业务等级系数. BSRC 安全币兑换后, 直接将现金发放到兑换者 BSRC 账户对应的百度钱包中, 收款用户百度钱包实名 认证后方可收款. 在兑换礼品前请先确认个人资料是否已完善, 新版网站需要用户设置默认收件地址. 如因报告者过失、 快递公司问题及人力不可抗拒因素产生的奖品丢失或者损坏,后果由本人承担.

七、 现金奖励计划 1. 个人月度前三现金奖励计划 参选条件: 1) ................