公告编号:作者:yzsrc发布日期:2023/10/17
一、业务范围及重要程度判断标准
1. 业务域名范围:
| *.youzan.com |
| *.qima-inc.com |
| *.xiaodian.com |
| *.koudaitong.com |
| *.guang.com |
| *.gaohuitong.com |
*.youzanyun.com |
*.allvalue.com |
2.业务服务:有赞微商城、有赞教育、有赞美业、有赞零售、有赞精选、爱逛卖家版、爱逛小程序、爱逛买手店、旺小店、allValue、企微助手、高汇通等能够证明为有赞资产的业务;
3.涉及有赞支付系统、有赞账户系统、有赞用户敏感信息、订单详细信息、核心营销的可被视为有赞【核心业务】。不涉及核心业务的信息属于【一般业务】。涉及合作商家网站为【边缘业务】;
4.其它第三方系统(包括*.isv.youzan.com、*.isv-dev.youzan.com等)只收取高危及以上漏洞,且对评分上可能根据对有赞的影响做降分处理;
二、安全威胁评分说明
YZSRC威胁报告主要包含Web、威胁情报、通用组件和插件漏洞四个报告内容,下面会对每个部分的规则做评分说明。
根据威胁对业务的安全风险,威胁分为严重、高危、中危、低危、无影响(忽略)五个等级。
有赞相关业务,根据业务重要程度分为:核心业务、一般业务、边缘业务(参考三业务范围)
所有威胁报告将结合漏洞实际利用危害、利用难度及业务重要程度,其中边缘业务需要考虑到对有赞的影响,进行评估最终报告得贡献值。
三、有赞SRC漏洞报告奖励标准
| 严重 | 高危 | 中危 | 低危 | |
| 贡献值 | 9-10 | 6-8 | 3-5 | 1-2 |
| 核心业务安全币 | 6000-10000 | 2000-5000 | 300-1000 | 100-200 |
| 一般业务安全币 | 3000-5000 | 1000-2000 | 150-500 | 50-100 |
| 边缘业务安全币 | 500-800 | 200-400 | 50-100 | 10-20 |
注:1安全币=1人民币
四、有赞SRC威胁情报奖励标准
由于情报的完整性对情报的价值有着重要的影响,因此我们上报情报的价值会进行情报完整性考量。威胁情报奖励以漏洞报告奖励标准的一般业务为准,情报完整性系数的评价将综合考虑情报的多个方面,如下:
| 严重 | 高危 | 中危 | 低危 |
| 9-10 | 6-8 | 3-5 | 1-2 |
| 3000-5000 | 1000-2000 | 150-500 | 50-100 |
注:1安全币=1人民币
Who:情报涉及到的威胁人员,如可定位到入侵者个体或组织的情报;
Where:情报所涉及的利用点,如订单信息泄露页面或接口;
How:情报所涉及的问题是如何被利用的,包括相应的流程、技术手段、工具等;
What:情报所涉及的主要问题,如黑产、入侵、刷单等;
严重情报:本等级包括:对核心业务、系统、办公网络造成重大影响,或对有赞造成大量资金损失的威胁情报。
高危情报:本等级包括:对核心业务、系统、办公网络造成较大影响,或对有赞造成较大资金损失的威胁情报。
中危情报:本等级包括:对核心业务、系统、办公网络造成一定影响,或对有赞造成一定资金损失的威胁情报。
低危情报:本等级包括: 对业务、系统、办公网络造成轻微影响的威胁情报。
i.我们鼓励提交尽量完整的情报信息,情报信息的完整度及危害程度将直接影响情报得分及漏洞评级。
ii.我们鼓励发现如:黄赌毒、黄牛插件、供应商违法操作等恶意内容、恶意注册马甲号、社区灌水帖等不限于上述业务的完整可靠有价值的安全情报。
五:评分标准
严重漏洞:
1. 直接获取核心系统权限(服务器端权限、客户端权限)的漏洞。包括但不限于:命令注入、远程命令执行、上传获取 WebShell、SQL 注入获取核心系统权限;
2. 核心业务的严重逻辑设计缺陷和流程缺陷。包括但不限于任意账号登录和密码修改、任意账号资金消费、特大量订单详细泄露、核心支付系统支付交易流程的漏洞。
高危漏洞:
1. 直接获取一般系统权限(服务器端权限、客户端权限)的漏洞。包括但不限于:命令注入、远程命令执行、上传获取 WebShell、SQL 注入获取权限;
2. 核心系统水平越权访问操作。包括但不限于绕过认证直接访问管理后台可操作、业务非授权访问、 业务后台弱密码,增删查改任意用户敏感信息或状态等核心交互的越权行为;
3. 可远程获取客户端权限的漏洞。包括但不限于远程任意命令执行、可进内网有回显的SSRF。重要页面的存储型XSS(包括存储型DOM-XSS)以及可获取cookie等敏感信息且具有传播性的各种XSS。
中危漏洞:
1. 需受害者交互或其他前置条件才能获取用户身份信息的漏洞。包括但不限于包含用户、网站敏感数据的Jsonp劫持、一般业务存储型XSS等;
2. 普通的逻辑缺陷。包括但不限于一般业务系统的越权行为和设计缺陷等,垂直越权可能会按照相关功能适当降级处理。;
3. 可攻击管理后台的XSS类攻击(需提供前台攻击位置,定位风险);撞库类问题能爆破出数据的、非重要站点的验证码爆破等。
低危漏洞:
1. 轻微信息泄露,包括但不限于路径、svn信息泄露、异常和含有少量敏感字段的调试信息,本地SQL注入、日志打印及配置等泄露情况;
2. 难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、可引起传播和利用的Self-XSS、子管理员的横向越权、有浏览器限制的反射XSS;
3. 利用场景有限的漏洞,包括但不限于短信、邮箱轰炸,URL跳转,非有赞账户系统的可撞库接口等。
无危害/暂时忽略:
1. 无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的CSRF、无意义的异常信息泄漏、内网IP地址/域名泄漏、无回显SSRF、管理后台泄漏、CSRF登出或匿名用户CSRF问题、无敏感信息的SVN信息泄漏、只有固定版本的小众浏览器才能触发的xss、无敏感信息的Jsonp劫持、无敏感信息的CORS跨域配置错误等;
2. 不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题;
3. 不能重现的漏洞。包括但不限于经YZSRC审核者多次确认无法重现的漏洞;
4. 内部已知、跟其他白帽子重复的漏洞;
5. 非接收范围内的漏洞,如非有赞业务的安全漏洞;
7. 不接收无实际意义的扫描器结果报告;
8. 暂不收取YZSRC平台本身的漏洞;
9. 店铺或连锁内部的垂直越权内部已知,暂不收取;
10. AllValue国际站业务商家可以自定义C端页面,故不收取XSS漏洞;
11. 暂不收取应用市场三方开发者应用漏洞
12. 暂不收取由于上传OSS导致的XSS问题
六、通用原则
1. 威胁报告禁止保存在互联网开放的云服务中(包括但不限于云盘、云笔记等),因漏洞报告内容保存于云服务导致的漏洞泄露风险一经确认,当前报告不计分;
2. 同一威胁报告(包括情报、通用组件和插件)最早提交者得贡献值,提交网上已公开的报告不计分;
3. 对于网上已公开的通用漏洞/威胁,因补丁下发及修复需要一定的时间,故在补丁下发30天内提交不计分;
4. 当多份威胁报告(安全漏洞、情报、通用组件和插件)有相似之处,YZSRC工作人员分析发现是由于同一处问题导致时,该情况只有最早提交者得贡献值;
5. 同一漏洞导致的多个利用点按照级别最高的奖励执行;(如:同个JS引起的多个XSS漏洞、同一个发布系统引起的多个页面的XSS漏洞、通用框架导致的整站问题等);
6. 各等级漏洞的最终贡献值由漏洞利用难度及影响范围等综合因素决定,若触发条件非常苛刻(如:特定浏览器才可触发的XSS 漏洞),经审核可能跨等级调整贡献值;
7. 报告者在进行渗透测试时,如在线上对业务做增删改操作时,请勿直接对正常用户数据做操作,数据添加请在标题或明显字段增加【我是测试】字样,以便于 YZSRC 和业务方识别数据真实性;
8. 以漏洞测试为借口,利用漏洞进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为在溯源发现后将不会计分,同时有赞保留采取进一步法律行动的权利;
9. 有赞所属公司员工不得参与漏洞奖励计划;
10. 请通过正常渠道与工作人员交流反馈问题,对于一些没有证据或使用非正当手段进行诬陷等行为,工作人员将适用法律手段维护权益。
如果您对该流程有任何建议,欢迎发送邮件至yzsrc@youzan.com,或联系公众号:有赞安全应急响应中心。建议一经采纳,YZSRC会送出专属礼品。
