自如SRC漏洞处理与评级总则1.0

公告编号:作者:admin发布日期:2021/07/07

一、简介

    1) 自如安全应急响应中心(以下简称 “ ZRSRC ” ) 致力于解决本公司产品或服务中存在的安全漏洞, 本规范描述了ZRSRC处理安全漏洞时处理流程与漏洞评级标准, 为漏洞发现者从事漏洞挖掘活动时提供指引.

    2) 本规范适用于ZRSRC 所收到的自如所有产品及服务安全漏洞报告, 包括但不限于:*ziroom.com 、自如移动端、自家移动端、自如所有公众号和服务号等. 对于非自如直接发布的产品和服务暂不计分. 

    3) 如果您对本标准任何的建议, 欢迎通过自如信息安全部官方邮箱(cybersecurity@ziroom.com)向我们反馈。


二、基本原则

    1) ZRSRC非常重视自身产品和业务的安全问题,我们承诺,对每一位报告者反馈的问题都有专人进行跟进、分析和处理,并及时给予答复。

    2) ZRSRC支持负责任的漏洞披露和处理过程,我们承诺,对于每位恪守白帽子精神,保护用户利益,帮助ZRSRC提升安全质量的用户, 我们将给予感谢和回馈。 

    3) ZRSRC认为每个安全漏洞的处理和整个安全行业的进步,都离不开各方的共同合作。诚挚地邀请企业、安全公司、安全组织、安全研究者一起加入到“负责任的漏洞披露” 过程中来,为业务的健康发展保驾护航,为建设安全健康的互联网生态而共同努力。 

    4) ZRSRC反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、威胁恐吓SRC要公开漏洞或数据等行为,ZRSRC将对违法违规者保留采取进一步法律行动的权利。

    5) ZRSRC反对和谴责一切利用安全漏洞恐吓用户、攻击竞争对手的行为。


三、漏洞反馈及处理流程

    1) 注册并完善信息阶段:

        a.  漏洞报告者在ZRSRC (https://ziroom.com) 注册账号并完善个人资料,为保证后续及时沟通与奖励按时发放, 应确保所填资料真实有效。

    2) 漏洞报告阶段:

        a. 漏洞报告者通过ZRSRC(https://ziroom.com) 账号提交漏洞或威胁报告;(状态: 待审核)

    3) 漏洞审核阶段:

        a. 一个工作日内,ZRSRC工作人员开始跟进评估问题。 (状态:审核中)

        b. 三个工作日内,ZRSRC 工作人员处理问题、给出结论并评分,忽略的漏洞会说明原因。 必要时,会与漏洞报告者沟通。 (状态:审核通过/已忽略)

        c. 确认漏洞的真实性后, 给予漏洞报告者自如币奖励, 自如币可用于兑换奖品

    4) 漏洞修复阶段:

        a. 漏洞确认后, 业务部门修复漏洞并安排更新上线

        b. 修复时间根据问题点严重程度及修复难度而定, 一般来说, 严重漏洞一天内修复,高危三个工作日内修复,中风险五个工作日内修复。客户端漏洞受版本发布限制,    修复时间根据实际情况确定。针对情报,由于情报分析调查的时间较长,因此确认周期相比漏洞的时长较长,具体时间需根据实际情况确定。

        c. ZRSRC工作人员复测通过后, 会邀请报告者协助验证漏洞是否修复完成; 如果修复未成功或者修复方式可以Bypass, ZRSRC会给予额外的奖励. (状态:已修复)

    5) 奖励发放阶段:

        a. 每个漏洞确认后, 会根据评分标准给予相应的自如币奖励, 自如币可在自如安全应急响应中心- 自如币栏目下兑换礼品, 每月的第一个工作日安排礼品发放;

        b. 此外ZRSRC不定期举办相应线上/线下活动,会优先邀请平台核心安全研究员参加。


四、漏洞评分和奖励标准

    根据漏洞的危害程度、目标业务系统的重要程度等多方面因素综合评价,将评级分为严重、高危、中危、低危、无影响共5个等级。

    1.  积分奖励标准

    积分记录报告者在平台上做的每一次贡献, 用来决定账号的等级

    积分计算公式 = 基础贡献值 * 业务系数


严重
(9 ~ 10)
高危
(6 ~ 8)
中危
(3 ~5)
低危
(1~2)
核心业务 ( 10 )90-10060-8030-5010 ~ 20
一般业务 ( 4 )36-4024-3212 ~ 204 ~ 8
边缘业务 ( 1 )9 ~ 106 ~ 83 ~ 51 ~ 2

    2. 自如币奖励标准

    自如币用来兑换商城礼品. 税后金额:1自如币 = 1元人民币

    自如币计算公式:自如币值 = 基础自如币值 * 业务系数


严重
高危
中危
低危
核心业务 (10)800 ~ 1000600 ~ 800400 ~ 600200 ~ 400
一般业务 (4)320 ~ 400240 ~ 320160 ~ 24080 ~ 160
边缘业务 (1)80 ~ 10060 ~ 8040 ~ 6020~40

    3.  安全漏洞评级标准

    根据漏洞的危害程度将漏洞划分为严重、高危、中危、低危、无影响五个等级。每个等级的具体说明如下:

    【严重】漏洞

        1)  直接获取基础架构系统权限包括但不限于:核心业务操作系统、核心业务数据库、防火墙等;

        2)  直接获取 web 服务器权限,包括但不限于:远程命令执行、上传并执行 webshell、缓冲区域溢出等;

        3)  严重的业务逻辑缺陷,可导致:大量用户经济损失,订单及支付系统业务逻辑绕过等;

        4)  严重的程序设计缺陷,可导致:大量用户敏感信息泄露,公司内部核心数据泄露等;

        5)  可直接导致核心系统瘫痪的拒绝服务攻击漏洞;

    【高危】漏洞

        1)  越权访问重要应用系统,包括但不仅限于绕过认证直接访问管理后台,后台系统密码泄露等;

       2)  影响一定范围用户账号或资金安全,包括但不限于:非核心 DBSQL 注入,可造成自动传播的存储型 XSS,涉及交易、资金、密码的  CSRF,可导致用户账号安全的应用系统漏洞或业务逻辑缺陷等;

        3)  重要业务系统源代码、密钥或未鉴权的 API 的泄露;

        4)  公司内部重要数据泄露;

    【中危】漏洞

        1)  需用户交互且在主流浏览器中才能产生影响的漏洞,包括但不仅限于针对重要系统的普通存储型 XSS 等;

        2)  普通越权操作,包括但不仅限于不正确的直接对象引用,身份数据篡改等;

        3)  少量的用户敏感信息泄露,包括但不限于:客户端明文存储密码、个别用户订单或身份信息泄露等;

        4)  不涉及资金、订单和用户敏感信息的普通逻辑设计缺陷和业务流程缺陷;

        5)  可导致资源滥用或造成对用户骚扰的漏洞,包括但不限于:短信炸弹、邮件炸弹等;

        6)  一定量的非重要系统的普通代码泄露;

    【低危】漏洞

        1)  只在特定浏览器或客户端环境下才能执行,且影响较小的漏洞,包括但不限于反射型 XSS、非关键业务的存储型 XSS 等;

    【无影响】

        1)  不涉及安全问题的 Bug,包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。

        2)  无法利用的漏洞,包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏、无敏感信息的越权访问,无敏感信息的      CORS 跨域配置错误等。

        3)  拒绝服务漏洞,包括但不仅限于Android 组件的拒绝服务漏洞,难以利用的拒绝服务漏洞。

        4)  不能直接反映漏洞存在的其他问题,包括但不仅限于纯属用户猜测的问题。

        5)  危害极小的安全配置不当问题,包括但不仅限于APK 中 debug=true或backup=true  的问题,Web 请求中未配置安全相关Header 等问题。

    2. 不接受的漏洞范围

        对以下范围的安全漏洞,我们可能会忽略或酌情给予奖励:

        1)   对于利用条件异常苛刻或漏洞利用范围极小的安全漏洞。

        2)  对于内部已知漏洞或由其他白帽已提交的重复漏洞。

    3. 应用系数说明

    【核心应用】 核心业务中涉及自如客、业主的敏感数据(例如手机号、证件信息等) 、 资金交易等业务, 包括但不限于自如业主、自如租房、自如家服、自如生活社区、自如家装、自如优品.

    【一般应用】 核心业务中不涉及自如客、业主的敏感数据(例如手机号、证件信息等) 、资金交易等业务,以及一般业务中的核心应用。

    【边缘应用】 第三方供应系统提供的系统,以及一般业务中的非核心应用。


    五、评分标准通用规则

        1) 奖励只针对通过ZRSRC平台提交漏洞的白帽子;

        2) 奖励机制只支持ZRSRC业务,合作方、供应商等第三方公司系统不在此奖励范围内;

        3) 同一漏洞产生的多个漏洞,按照最高级别的漏洞奖励标准执行,漏洞数量计为一。例如 PHPwind 的安全漏洞、同一个 JS 引起的多个 XSS 漏洞、同一个发布系统引起多个页面的 XSS 漏洞、框架导致的整站XSS/CSRF 漏洞、泛域名解析产生的多个 XSS 漏洞、同一个URL 多个参数的相同问题等;

        4) 各等级漏洞的最终自如币由漏洞利用难度及影响范围等综合因素决定,若漏洞触发条件非常苛刻,包括但不限于特定浏览器才可触发的XSS 漏洞,则可跨等级调整自如币;

        5) 如果同一漏洞或同一问题漏洞的不同表现形式在漏洞修复前由多位漏洞报告者提交,在进行奖励时,我们会以最先提交并清晰表述、重现此漏洞问题的研究者为唯一受奖励者;

        6) 通用型漏洞,如 struts、weblogic出现新漏洞,首位附 poc 报告者得漏洞对应等级最高分,报告时间1 个月内其他该漏洞引起的问题忽略处理,报告时间 3 个月内其他该漏 洞引起的问题最高中危处理,3个月后如仍存在该问题则按漏洞对应级别评分。

        7 )  对于移动终端系统导致的通用型漏洞,比如webkit 的 UXSS、代码执行、Android组件配置不当等等,仅给首个漏洞报告者计分,对于自如其它客户端产品的同类型漏洞报告,均不再另外计分;

        8)  只接收属于自如移动客户端产品的漏洞,不接收Android/IOS系统自身漏洞;

        9)  对于第三方库(如 libpng、zlib、libjpeg 等)导致的客户端漏洞(包括 PC 和移动端),且可以通过升级或者更换第三方库可完成修复的漏洞,仅给首个漏洞报告者计分(不区分操作系统)。同时,从 ZRSRC获取首个漏洞的反馈时间到第三方首个修复版本发布时间的日期内,对于同一类漏洞均按一个漏洞计分,危害等级取危害最大的一个漏洞来评定

        10)   漏洞挖掘过程应当以不影响自如业务正常运作、不破坏、不传播漏洞为原则,否则自如安全应急响应中心有权取消漏洞奖励;

        11) 网上已公开或内部已知的漏洞、不在奖励范围内;

        12) ZRSRC员工不得参与或通过朋友参与本活动;

        13)   报告者未经授权不能擅自公开或部分公开提交的漏洞,ZRSRC有权取消奖励并保留追究法律责任权利

        14) 漏洞奖励处理标准的解释权归ZRSRC信息安全部所有;


六、奖励发放规则

  【常规奖励】

    1) 报告者通过ZRSRC提交安全漏洞一经确认, 立即给予相应的贡献值和自如币奖励, 自如币可累加,除非特别声明,未使用的自如币不会过期。

    2) 礼品每周四邮寄,默认发顺丰快递, 周四之前兑换礼品在当周邮寄,周四之后兑换的礼品下周周四邮寄。如因报告者未能完善资料导致的延误,将顺延至下个周期批量寄送时寄出;如因报告者过失、快递公司问题及人力不可抗拒因素产生的奖品丢失或者损坏,ZRSRC不承担责任;京东卡以卡密形式兑换,卡密一旦发出去,就不受理任何错误的情况。实物奖品兑换依照供货商库存实际情况进行发货。

  【额外奖励】

    1) 为鼓励漏洞报告者提交高质量的漏洞报告, 针对影响重大的安全漏洞、利用思路新颖并对自如业务安全或系统安全作出突出贡献者, 经过评估讨论后给予额外奖励, 包括但不限于现金、京东卡、无门槛优惠券.

    2) ZRSRC不定期举办线上/线下活动, 参加活动并表现突出者给予额外奖励, 包括但不限于现金、京东卡、无门槛优惠券.


七、争议解决办法

    在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以 通过以下两种方式联系 ZRSRC 工作人员进行及时有效的沟通:

    1) 漏洞详情页面的留言板;

    2) 邮箱 cybersecurity@ziroom.com

    ZRSRC将按照漏洞报告者利益优先的原则处理,必要时将会引入外部安全人士共同裁定。