PDF《BILISRC 漏洞处理和评分标准》

BILISRC 漏洞处理和评分标准 撰写 哔哩哔哩安全应急响应中心 文档版本 1.

2 更新日期 2019-04-16 联系邮箱 security@bilibili.com 修订记录 2017-07-10 上线 BILISRC 安全应急响应中心白帽子协议 2018-03-05 修订、优化威胁情报处理流程 2018-03-14 拟订 BILISRC 漏洞处理和评分标准 V1.0 2019-02-20 评分标准:舆情、威胁情报、远程 Crash 类更新 2019-03-05 增加严格禁止行为的相关要求和处置措施 2019-04-16 提升针对提交严重、高危安全漏洞的安全币奖励 适用范围 该评分标准仅用于对哔哩哔哩产品和业务有影响的威胁情报和安全问题.域名包括但 不限于 *.bilibili.com、*.biligame.com、*.bilibiligame.net、*.acg.tv、*.hdslb.net, 服务器包括哔哩哔哩运营的服务器,哔哩哔哩办公网络,产品为哔哩哔哩发布的客户 端产品.注:对哔哩哔哩业务安全无实际影响的报告将不计分. 实施日期 本标准自文档发布之日起执行. 致谢 感谢 oiram、bug

2048、TSRC、2233 (排名不分先后)为此报告流程所做出的贡献.

(一)威胁情报反馈与处理流程 1. 报告阶段 威胁情报报告者登陆哔哩哔哩安全应急响应中心,提交反馈安全问题(状态:待审核) 2. 处理阶段 根据白帽子反馈的不同威胁等级,哔哩哔哩安全应急响应中心(以下简称 BILISRC)工作人 员会在一到三个工作日内,确认收到的威胁情报报告并跟进开始评估问题(状态:审核中), 后续的一到三个工作日内,BILISRC 工作人员处理问题、给出结论并给予安全币(状态:已 确认/已忽略). 报告在 BILISRC 工作人员给出确认或忽略的结论后,白帽子可以在 BILISRC 前台对结论做出 评判认可,若对处理结论存在较大争议可重新发起评估,提供更多细节后方便工作人员给出更 好的评判结论. 3. 修复阶段 业务部门修复威胁情报中反馈的安全问题并安排更新上线.修复时间根据问题的严重程度及修 复难度而定,一般来说,严重和高风险问题

24 小时内,中风险三个工作日内,低风险七个工 作日内.客户端安全问题受版本发布限制,修复时间根据实际情况确定.(状态:已修复) 4. 完成阶段 BILISRC 会根据威胁情报的危害等级为威胁情报报告者发出额外积分或礼品.在得到威胁情 报报告者许可的情况下,BILISRC 会不定期挑选有代表意义的威胁情报进行分析,分析文章 将发表在 BILISRC 官网.

(二)安全币的计算方法 安全币约合人民币 1:10 汇率.

(三)漏洞相关评分标准 根据漏洞的危害程度将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【无效】五 个等级.每个漏洞基础经验值最高为 10,由BILISRC 结合利用场景中漏洞的严重程度、利用 难度等综合因素给予相应分值的经验值、安全币和漏洞定级,每种等级包含的评分标准及漏洞 类型如下: 【严重】经验值 9~10 / 安全币 500~1000 1. 直接获取核心系统权限的漏洞(服务器权限、PC 客户端权限).包括但不仅限于远程 命令执行、任意代码执行、上传获取 Webshell、SQL 注入获取系统权限、缓冲区溢 出. 2. 严重的敏感信息泄漏.包括但不仅限于核心 DB(资金、身份、交易相关) 的SQL 注入,可获取大量核心用户的身份信息、订单详细信息、银行卡详细信息等接口问题引 起的核心敏感信息泄露. 3. 严重的逻辑设计缺陷和流程缺陷.包括但不仅限于通过核心业务接口无限制任意账号 资金消费、批量修改任意帐号密码漏洞、任意账号登录漏洞等. 【高危】经验值 6~8 / 安全币 200~400 1. 敏感信息泄漏.包括但不仅限于非核心 DB SQL 注入、源代码压缩包泄漏、服务器应 用加密可逆或明文、移动 API 访问摘要、硬编码等问题引起的敏感信息泄露. 2. 敏感信息越权访问.包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取 大量内网敏感信息的 SSRF. 3. 直接导致业务拒绝服务的漏洞.包括但不仅限于直接导致移动网关业务 API 业务拒绝 服务、网站应用拒绝服务等造成较高影响的远程拒绝服务漏洞. 4. 越权敏感操作.包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业 务配置修改等较为重要的越权行为. 5. 大范围影响用户的其他漏洞.包括但不仅限于可造成自动传播的重要页面的存储型 XSS(包括存储型 DOM-XSS)和涉及交易、资金、密码的 CSRF. 6. 直接获取系统权限的漏洞.包括但不仅限于远程命令执行、任意代码执行等. 【中危】经验值 3~5 / 安全币 30~100 1. 需交互方可影响用户的漏洞.包括但不仅限于一般页面的存储型 XSS、反射型 XSS (包括反射型 DOM-XSS)、重要操作 CSRF、URL 跳转漏洞. 2. 普通越权操作.包括但不仅限于不正确的直接对象引用.影响业务运行的 Broadcast 消息伪造等 Android 组件权限漏洞等. 3. 普通信息泄漏.包括但不仅限于客户端明文存储密码、客户端密码明文传输以及 web 路径遍历、系统路径遍历. 4. 远程拒绝服务漏洞.包括但不仅限于客户端远程拒绝服务(解析文件格式、网络协议 产生的崩溃),由Android 组件权限暴露、普通应用权限引起的问题等(默认配置情 况下). 5. 普通的逻辑设计缺陷和流程缺陷. 【低危】经验值 1~2 / 安全币 10~20 1. 本地拒绝服务漏洞.包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议 产生的崩溃),由Android 组件权限暴露、普通应用权限引起的问题等(默认配置情 况下). 2. 轻微信息泄漏.包括但不仅限于路径信息泄漏、SVN 信息泄漏、PHPinfo、异常信息 泄露,以及客户端应用本地 SQL 注入(仅泄漏数据库名称、字段名、cache 内容)、 日志打印、配置信息、异常信息等. 3. 难以利用但存在安全隐患的漏洞.包括但不仅限于难以利用的 SQL 注入点、可引起传 播和能够利用的 Self-XSS、需构造部分参数且有一定影响的 CSRF. 【无效】经验值