[TH2020-001]THSRC漏洞处理和评分标准V1.0

公告编号:[TH2020-001]作者:审核小姐姐发布日期:2021/01/04 17:26:39

一、平台介绍

途虎养车安全应急响应中心(以下简称:THSRC)是用于接收途虎养车相关产品或服务中存在的安全漏洞。本则标准描述了THSRC处理安全漏洞时的具体流程和做法,同时定义了对于不同类型漏洞的奖励标准。

二、适用范围

途虎养车所有产品和业务,包括但不限于:

*.tuhu.cn、*.tuhu.org、*.qipeilong.cn、APP、小程序等。

核心业务:途虎养车PC官网/APP/小程序、途虎养车商户PC站点/APP/小程序、以及其他汽车保养、轮胎洗美、道路救援等途虎养车主营业务等。

一般业务:途虎论坛(仅接收高危及以上漏洞)、新的壹/二手车业务、汽配龙业务、公司内部办公系统、途虎收购的业务及系统、以及有业务合作的第三方业务等。

测试环境和办公环境漏洞仅收取能直接进入内网的漏洞、本SRC网站漏洞暂不收取。

UT环境(域名含有xxxut.tuhu.cn字样)仅收取高危及以上漏洞,且该漏洞必须在UT环境独有,如与生产环境同时存在则仅收取生产环境的提交,不再重复收取。

如有其他与途虎相关的漏洞/情报,无法简单判断是否属于途虎的,也可以提交过来由我们研判。

三、处理流程

1.预报告阶段

报告者访问THSRC平台,注册登录账号,完善个人信息。

2.报告阶段

报告者登录THSRC平台,提交相关漏洞/情报信息。(状态:审核中)

3.处理阶段

一个工作日内,THSRC工作人员会对漏洞进行确认并评估。(状态:已确认/已忽略)

三个工作日内,THSRC工作人员会对漏洞进行处理及评分。(状态:漏洞定级)必要时会与报告者沟通确认,请报告者予以协助。

4.修复阶段

业务部门修复所报告的问题并安排修复上线(状态:已修复),修复时间根据问题严重程度、修复难度和业务情况而定。

一般情况下严重报告的修复时间为24小时内,高危为3天内,中危7个工作日内,低危14个工作日内,客户端和特殊业务因发版及其他限制因素,修复时间稍有变化。

如有同一漏洞的二次绕过行为,需要在本漏洞状态为“已修复”时可视作有效提交。修复期间绕过临时防御的行为将视为重复提交。

5.完成阶段

 报告者可对状态为已修复的问题进行复查,若问题仍存在,可再次提交反馈。若已确认修复,则此流程关闭。(状态:已完成)

四、漏洞评分标准

1安全币=1RMB

THSRC贡献值&安全币体系
危害分级贡献值金币值
一般业务核心业务
低危1-220-4050-100
中危3-5100-200300-800
高危6-81000-15002000-3000
严重9-102000-30004000-5000

根据漏洞的危害程度将漏洞等级分为严重、高危、中危、低危四个等级。由THSRC结合利用场景中漏洞的危害程度、利用难度等综合因素给予相应分值的贡献值和漏洞定级。

【严重】

1、直接获取核心业务系统权限的漏洞。包括但不仅限于远程命令执行、任意代码执行、上传获取WebshellSQL注入获取系统权限等。

2、核心业务系统严重的敏感信息泄漏。包括但不仅限于核心业务 DB数据泄露,可获取大量核心用户/商户的个人敏感信息等(至少包含3类字段:姓名/身份证信息、银行卡信息、手机号/邮箱、密码、详细地址等)。

3、核心业务系统严重的逻辑设计或流程缺陷。包括但不仅限于可影响大量用户/商户的批量任意账号资金消费、批量任意账号密码修改漏洞等。

【高危】

1、敏感信息泄漏。包括但不仅限于非核心业务DB SQL注入、重要业务大量用户敏感信息泄漏。

2非核心业务的严重业务逻辑漏洞。包括但不仅限于绕过认证直接访问系统管理、批量盗取/修改用户个人敏感信息、商户经营信息、订单越权篡改、修改业务配置、篡改支付、优惠券使用逻辑等重要功能的漏洞。

3、大批量大范围的影响用户信息或资金的其他漏洞。包括但不仅限于可造成蠕虫自动化传播的组合漏洞。

【中危】

1、需交互方可影响用户的漏洞。包括但不限于核心业务及重要系统存储型 XSS、涉及到交易、资金、密码等重要操作的CSRF。

2、普通越权访问。包括但不限于非重要功能的越权操作、有利用限制并具有一定影响的逻辑漏洞、绕过限制访问非核心系统后台等。

3、普通信息泄漏。包括但不限于造成大量敏感信息的目录遍历、包含密码/密钥(实际可用)等敏感信息的源码泄露、任意文件读取/删除、SSRF等。

【低危】

1、本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务,由Android组件权限暴露、普通应用权限引起的问题等。

2、轻微信息泄漏。包括但不仅限于SVN信息泄漏、服务端配置信息、调试页面泄露造成非重要信息的泄露(例如不能利用的DB连接密码等),以及客户端应用本地SQL注入、本地文件敏感信息泄露等。

3、难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、可引起传播和利用的反射型XSS等

4、危害有限的行为。包括但仅不限于无交互的URL跳转、危害有限的越权操作(如越权清空/添加购物车/关注等)。

5、可导致资源滥用或造成对用户骚扰的漏洞。包括但不仅限于邮箱或短信轰炸。

6、普通的逻辑设计缺陷和流程缺陷。包括但不限于关键验证码绕过、撞库等。

【无影响】

1、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性、复杂交互的URL重定向、账户枚举等问题。

2、利用条件异常苛刻的漏洞。包括但不仅限于Self-XSS、复杂交互的URL重定向、无敏感操作的 CSRF(收藏、加购、关注、一般的资料修改等)、无意义的异常信息泄漏、内网 IP 地址/域名泄漏、无敏感信息的越权访问、慢速DDOS攻击、手机/邮箱横向轰炸、401基础认证钓鱼等。

3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户捏造/伪造、猜测、无法重现、未经验证、无意义的扫描报告的问题。

4任何无敏感信息/无实际危害的漏洞。包括但不仅限于目录遍历、cors跨域配置错误、测试/备份文件下载、jsonp劫持、网络上泄露的已无法使用密码/密钥等。

5、由于我司特殊的业务需求,门店联系电话、客服/加盟联系方式、门店工商资质、员工健康证等属于依法公开或有必要公开的信息,不作为敏感信息,如有涉及该类信息的,默认做忽略处理,酌情给予确认。

6、内部已知、正在处理的漏洞、已经有人提交过的重复漏洞、符合下述漏洞合并原则的漏洞。

7、不属于途虎养车的业务和漏洞不接收。例如途虎合作方、完全第三方开发运维的程序、电信运营商、CDN加速服务商、云服务商的机房基础网络架构等导致的漏洞不在接收之列。途虎引入的第三方SDK的自身漏洞、泄露的源码中属于开源框架源代码。由于电力/通讯基础设置缺陷、由于操作系统、APP商店本身缺陷和差异化导致的漏洞不在接收之列。通过逆向破解(逆向无止境)解出的源代码和敏感信息也暂不接收(例如通过途虎合作的第三方业务发现漏洞可以获取途虎订单信息,但对方系统不受途虎管理,故忽略,但途虎会要求对方进行整改)。

五、漏洞评分原则

1、同一个漏洞,第一个报告者给予确认,后续其他报告者按重复提交做忽略处理。同一漏洞的二次绕过行为,需要在本漏洞状态为“已修复”时可视作有效提交,修复期间绕过临时防御的行为将视为重复提交。提交网上已公开的漏洞做忽略处理。

2、对于同一处程序缺陷原因导致的多个不同漏洞类型的问题,按利用危害程度最大的提交为准。

3、通用型漏洞(如同一个漏洞源产生的多个漏洞)一般计漏洞数量为一个。例如同一个 JS 引起的多个 XSS 漏洞、同一个发布系统引起的多个页面的 XSS 漏洞、框架导致的整站 XSS/CSRF/SQL 漏洞、泛域名解析产生的多个 XSS 漏洞等;通用型漏洞视漏洞严重性定级,第一位提交者得分,后面提交者不得分。

4、漏洞合并原则:同一根因引起多个相同的漏洞我们会认为该问题是普遍问题,针对这类问题最多计为3个漏洞。比如一个业务系统内因框架导致的普遍XSS、SQL注入、越权;网络访问控制配置失效问题导致的批量性内部屏蔽绕过;短信功能安全导致的多个站点短信验证缺陷;SSO统一认证处功能缺陷导致多个帐户/站点存在风险/漏洞等;账户数据批量泄露导致的多个账户口令泄露分批提交等情况只计为一个漏洞。

5、对于新鲜爆出的0day或Xday漏洞,为防止无意义的自动化脚本抢时间刷洞行为,业务会设置一定的修复保护期,若属于内部已知晓并正在修复处理则会进行忽略,若提交的漏洞绕过等对我司有价值的漏洞,提交会给予确认。

6、我司业务高峰期为8:00-20:00,业务高峰期间禁止扫描,安全部门会有专门审计同事,如若发现违规,漏洞进行降级或忽略处理。

7、对于标题与内容严重不符的信息,根据情节会做漏洞降级处理,严重者将漏洞/情报做忽略处理。

8、漏洞描述请务必详细,漏洞报告中如有涉及非个人账号,请务必连账号一同提交。对于描述过于简单的漏洞,会适当降级或者忽略处理。(比如暴力破解漏洞,漏洞描述只有一个登陆页面)。对于提交中含病毒附件、社工欺诈、恶意骚扰、辱骂性质的白帽子将做封号处理。

9对于某些绕过营销活动限制的行为,需要以最终实际危害和影响为准,譬如优惠活动叠加利用需要以能否击穿成本底价作为判断依据。绕过前端限制修改金额,购买超出数量限制的物品,买到不该买到的货物,均需以实际能否发货进行判断。

10、各漏洞/情报的最终奖励由漏洞利用难度及影响范围、实际危害等综合因素决定,漏洞审核人员会参考行业通用做法酌情进行适当跨等级调整奖励。

11、对于因重复漏洞或内部已知而忽略的漏洞,建议一个月后再进行测试提交。

12、途虎养车集团下属公司员工不得参与或通过家人朋友参与本漏洞奖励计划。

13、其他测试规范请见《SRC行业安全测试规范》,如有冲突处以本规范为准,若本规范没有涉及到的,以该规范为准。

14、我司郑重承诺,绝对不会存在偷偷修复漏洞然后忽略的行为。当然部分提交过来的无实际危害的无影响问题,将会进行忽略。同时,我们可能会在后续产品迭代中修复该问题,这并不属于偷偷修复然后忽略范畴。对于忽略和重复漏洞判定有争议的白帽子可联系SRC邮箱或SRC运营小姐姐进行申诉和质疑。

15、现金奖励兑换500RMB起换,且需要提供实名身份信息和银行卡信息,不建议注册多个小号。若多个账号实名信息相同,在某些地方则认为是同一账号。

六、漏洞争议解决办法

在漏洞处理过程中,如果报告者对处理流程、漏洞评定、漏洞评分等具有异议的,请联系THSRC官方邮箱,infosec@tuhu.cn,或联系运营小姐姐微信,会有对应的审核人员给您答疑。THSRC将根据漏洞报告者利益优先的原则进行处理,必要时可引入外部人士共同裁定。最终解释权归途虎养车安全应急响应中心所有。

请通过正常渠道与工作人员交流反馈问题,对于一些没有证据或使用非正当手段进行诬陷、诽谤等行为,工作人员将适用法律手段维护权益。