| 首页 > 新闻公告 > 公告详情
360SRC外部漏洞处理和评分标准
2021-04-07

360SRC外部漏洞处理和评分标准V1.0

(2021.04.07)

前言

为提高360SRC的处理效率,增进360SRC与白帽子的合作,我们将重新统一漏洞奖励标准,后续白帽们提交的漏洞情报定级可直接参考此标准内的内容评级。

如果您对本标准有任何的建议,欢迎通过 360SRC 官方邮箱(security@360.cn)或者微信公众号(360安全应急响应中心)的方式向我们反馈。本标准自 2021 4 7起施行。

一、适用范围

对于非360集团发布的产品和业务,如投资公司、子公司、合资公司等也在收录范围内,具体范围可参考https://security.360.cn/Product/product

我们会参考实际危害和影响做具体评级操作,其处理和修复不能保证在预定时间内,但其与第三方合作公司业务不在漏洞收录范围。

二、威胁反馈与处理流程                           

1、提交漏洞:白帽子可访问360SRC平台提交漏洞,漏洞报告包括但不限于以下内容

(1)漏洞环境。例如域名、具体接口及参数。

(2)复现过程。包括利用条件、详细实现步骤,要有明确的触发位置,关键步骤和漏洞利用条件可尽量截图说明,仅从理论层面说明漏洞的存在而无利用和复现过程将不予收录。(例如扫描报告、请求头配置等)

(3)潜在危害修复建议。漏洞危害是重要评级依据,建议在报告中描写清晰。

(4)精华报告奖励。对于高危或严重漏洞,如果漏洞报告翔实,具备优秀参考价值,将在原漏洞奖励的基础上增加5%~20%比例的报告奖励。

2、漏洞审核:漏洞审核过程必要时会与报告者沟通确认,请报告者予以协助。对于web/服务端/移动端漏洞,漏洞审核到漏洞确认状态,审核人员将在三个工作日内进行;其他漏洞审核流程的审核周期较长,望见谅。

3、漏洞修复:业务部门修复所报告的问题并安排修复上线(状态:已修复),修复时间根据问题严重程度、修复难度和业务情况而定。同一个漏洞若3个月后发现仍存在,无论上次提交的状态如何,可再次提交。

4、漏洞二次确认:在奖励发放前存在二次确认环节,在漏洞二次确认后,具体奖励将会显示在用户界面。

5、奖励发放:奖励发放一般在提交漏洞后的下个月上旬。如遇假期等特殊事件结算日期往后顺延。发放奖金需领奖人在360SRC平台填写个人资料,包括银行卡号,身份证号,开户银行(具体到支行)等。领奖人务必提供真实有效的个人信息,以确保奖金的顺利发放。

三、漏洞评分及奖励标准

360SRC根据业务的重要程度分为核心业务(系数1.2~1.5)、一般业务(系数0.8~1.2)、边缘业务(系数0.5~0.8三类。其中核心业务为360集团发布的价值较高、影响范围较广的业务和产品;边缘业务为日活量较低、影响范围较为有限的业务和产品;其他业务和产品归属为一般业务。

漏洞评价主要分为以下四个内容:Web\服务端\移动端漏洞、IOT漏洞、PC客户端漏洞、威胁情报。

根据漏洞对业务产生的危害,分为严重、高危、中危、低危、忽略五个等级。Web\服务端\移动端漏洞、IOT漏洞、PC客户端漏洞具体漏洞评分及奖励标准可见https://security.360.cn/Reward/reward。收录的基本原则是有实际应用危害

Web\服务端\移动端漏洞

【严重】

1、直接获取核心服务器权限的漏洞,包括但不限于上传Webshell、任意代码执行、远程命令执行等。

2、直接导致严重的信息泄露漏洞,包括但不限于重要数据库的SQL注入、系统权限控制不严格等导致的敏感数据泄露漏洞等。

3、直接导致严重影响的逻辑漏洞,包括但不限于核心账户体系的账密校验逻辑等。

【高危】

1、重要业务敏感数据信息泄露漏洞,包括但不限于重要用户信息、订单信息、数据文件信息等。

2、重要业务的逻辑漏洞,包括但不限于权限绕过等。

3、不需交互的重点业务漏洞,包括但不限于文件遍历、任意文件包含、任意文件读取等。

4、包含重要业务敏感信息的非授权访问,包括但不仅限于绕过认证直接访问管理后台、后台弱密码、可直接获取大量内网敏感信息的SSRF等。

【中危】

1、不需交互对用户产生危害的安全漏洞,包括但不限于一般页面存储型XSS等。

2、普通信息泄露漏洞,包括但不限于用户信息泄露和业务敏感信息泄露等。

3、普通的逻辑设计缺陷和流程缺陷,包括但不限于越权查看非核心系统的订单信息等。

4、其他造成中度影响的漏洞,例如:没有敏感信息的SQL注入、无回显SSRF漏洞等。

【低危】

1、在特殊条件下才能获取用户信息的安全漏洞,包括但不限于反射XSS等。

2、轻微信息泄露,包括但不限于服务器物理路径、边缘系统文件、本地日志等。

3、其他造成低危害的漏洞,例如:管理后台开放、解析漏洞、存在可被暴力破解接口等。

【忽略】

1、无关安全的 bug。包括但不限于网页乱码、网页无法打开、某功能无法用。

2、无法利用的“漏洞”。包括但不限于没有实际危害的“扫描”报告、Self-XSS、无敏感信息的 JSONHijacking、无敏感操作的 CSRF、无意义的源码泄漏、内网 IP 地址/域名泄漏、401 基础认证钓鱼、程序路径信任问题、无敏感信息的信息泄漏(如无敏感信息的/metrics/.htaccess/DS_store/ swagger-ui等)。

3、非360业务漏洞,测试系统的无效漏洞。

智能硬件漏洞

智能硬件产品范围:360路由器,360智能摄像机,360儿童手表,360行车记录仪等。

【严重】

无条件远程代码执行等漏洞以及未授权远程终端控制漏洞。以路由器为例:在远端Internet环境下,在设备未授权状态下直接与路由器WAN口通信,触发漏洞并获取路由器内部系统root权限,实现远程代码执行。

【高危】

包括但不限于有条件的远程代码执行、无条件局域网代码执行、远程设备通用密码方案破解。例如在不知道路由器管理密码的情况下,通过利用路由器LAN口的漏洞取得root权限并执行任意代码。

【中危】

包括有条件局域网代码执行、远程拒绝服务(非耗光系统资源)、物理接触导致的设备通用密码方案破解等。

【低危】

包括局域网内拒绝服务(非耗光系统资源)、通过物理接触打断uboot、物理调试接口开放等。

【忽略】

对于只可以使设备功能异常,或泄露一些配置文件(无隐私信息)的设备逻辑问题,只属于程序设计的bug,不按漏洞进行奖励,对于有价值的反馈,会进行公开致谢。

PC客户端漏洞

PC客户端产品包括360安全卫士、360杀毒、360手机卫士等核心产品,其他客户端产品视情况降低评级。长期不更新或较低版本的产品不列入奖励范畴,若危害较大可酌情给予奖励。

【严重】

包括但不限于远程任意命令执行、可利用的远程缓冲区溢出以及其它因逻辑问题导致的远程代码执行漏洞。

【高危】

主动防御绕过,即执行高危动作后未出现拦截。高危动作包括但不限于修改启动项、替换系统命令、设置定时任务、破坏或删除卫士功能、致程序崩溃防御失效的操作等。

备注:主动防御绕过需在联网且开启晶核的模式下;高危动作不包括正常文件读取、截屏等行为。

【中危】

1、本地任意代码执行。

包括但不限于本地可利用的堆栈溢出、本地提权、 文件关联的 DLL 劫持以及其它逻辑问题导致的本地代码执行漏洞。

备注:不包括以下几种情况:

加载不存在的 DLL 文件、加载正常DLL未校验合法性、需要管理员权限操作手工拷贝DLL、需要用户大量交互以及基于KnownDLLs 缺陷所导致的 DLL 劫持等。

2、会影响用户正常使用场景的拒绝服务攻击。包括但不限于远程应用拒绝服务攻击、组件权限导致的本地拒绝服务漏洞等。

3、其他功能缺陷。包括但不限于客户端敏感信息明文存储传输、下载恶意文件未提示及其他类似问题。

【低危】

安全扫描的绕过,即静态免杀样本,或其他危害较低的软件缺陷。

威胁情报

威胁情报评分标准将结合实际影响、情报完整性和业务重要程度进行综合评定。具体原则如下:

1、威胁情报需包括情报具体内容、情报的数据真实性证明和情报来源等关键信息。未能主动证明真实性的情报将被忽略。各个内容是否全部包含为评分的必要条件

2、原则上威胁情报奖励不高于对应漏洞奖励。

3、收录内容包括:服务器被入侵且提供了入侵行为特征等关键线索

4、核心业务数据库被下载,并提供数据库名或文件等关键线索;支付业务逻辑漏洞利用、业务流程绕过等关键线索;蠕虫传播、流量劫持等提供源链接、网络数据包样本等关键线索;用户身份信息大规模被窃取且提供了攻击代码等相关线索;对有针对性的秒杀、刷积分、活动刷钱套现等事件提供关键线索;360相关钓鱼网站实际控制人员的信息提供关键线索;对泄露公司内部数据、用户数据等行为提供关键线索等。

5、质量评判:标题准确概括情报内容(加分)、情报内容准确详细(加分),数据证明清晰、逻辑完整(加分),原始情报来源可溯源(必要)。若缺乏可溯源,评价将在一定范围内降级。

四、漏洞审核原则

1、评分标准和漏洞奖励仅针对360产品和业务有影响的漏洞。360的资产详见https://security.360.cn/Product/product。对于不再更新的产品或未纳入安全服务的控股业务,相关漏洞将不予收录。(例如鲸鱼阅读、或其他尚未列入资产的新收购产品等)

2、同一漏洞导致的多个利用点按照级别最高的奖励执行;同一系统只收取前三个接口产生的同类型漏洞。(例如同个系统的不同接口存在水平越权漏洞)

3、同一漏洞源的多个漏洞仅记为 1 个。以下情况也作同一漏洞源处理,即多个漏洞按一个处理。例如:同一个站点开启debug php 未关闭错误回显等原因引起的多处信息泄露;同一个站点多个目录存在目录浏览或svn 信息泄露;同一个接口的逻辑漏洞。

4、同一漏洞由多位提交者提交,会以最先提交并清晰表述、重现此漏洞问题的研究者为唯一受奖励者。

5、对于有活动期限或是即将下线的业务,经审核可能会跨等级调整积分。

6、通过测试环境获取的数据为测试数据,或者获取到测试环境的服务器权限,按照0.1系数给予奖励。通过测试环境能够证明获取或影响到正式环境的数据,或通过测试环境拿到正式环境的服务器权限,酌情考虑按照1系数给予奖励。

7、隔离网段和公有云上的业务漏洞,将视情况忽略或下调评级,定级范围最高为高危,若与业务无关则不予收录。若能证明相关漏洞影响较大,可酌情考虑按正常标准评级。

8、通用漏洞。对于CVE等通用漏洞,在漏洞公开的前10个工作日,相关的漏洞暂不予收录,若10个工作日后业务或资产存在对应漏洞,则可向SRC提交对应漏洞,依据通用漏洞奖励标准,且仅以首个漏洞提交者奖励。

9、特殊漏洞说明:

1)弱口令漏洞与未授权登陆,若通过进入后台没有敏感信息或者敏感操作,定级范围为低危至中危。

2url跳转漏洞,对于非核心业务的url跳转漏洞和仅能跳转到子域名的url跳转漏洞暂不予收录。

3SSRF漏洞需能到达内网域名或IP,仅通过外网dnslog证明不予认定;无回显或部分回显的SSRF漏洞定级范围为低危至中危。

4)触发条件苛刻的漏洞,将视业务情况忽略或降低评级奖励。

5CSRF漏洞,非核心业务的非敏感操作CSRF漏洞暂不予收录。

6)由于以消耗基础设施资源并导致其崩溃或故障来完成的拒绝服务攻击暂不予收录。

7)需要物理访问用户设备的攻击或中间人攻击暂不予收录。

8360安全卫士、360杀毒漏洞收录条件:开启晶核、联网状态、软件版本为最新版本;dll劫持等漏洞需通过程序自动执行而非手工移动。

五、通用规定

1、漏洞报告禁止存放在互联网开放的云服务或共享文档中,如因漏洞报告内容存储于云服务而导致漏洞泄露,当前漏洞不予奖励。

2、威胁报告提交后在未修复前主动公开的报告不予奖励。禁止未经360SRC授权,私自公开漏洞的行为,一旦发现严肃处理,包括奖励取消等。

3、报告者在进行渗透测试时,如在线上对业务做增删改操作时,请勿直接对正常用户数据做操作。以漏洞测试为借口,利用漏洞进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为在溯源发现后将不会计分,同时360保留采取进一步法律行动的权利。

4、在漏洞测试过程中,须遵守渗透测试原则,严格遵守《网络安全法》的规定,对于上传 webshell、反弹shell、内网扫描探测、恶意拖取数据、下载源码等越界行为,360有权利报案、举报、并配合刑事侦查机关提供相应证据。

5、SQL 注入测试过程中,证明危害即可,获取十条以上数据者追究更加数据情况做出相应处理;敏感数据泄露,请在漏洞修复后删除相关信息,一旦发现信息泄露,亦做出相应处理。

6、360集团及360所属公司员工不参与SRC漏洞奖励计划,请通过内部渠道报告漏洞,一经发现将取消相关奖励。

7、在用户对处理流程、漏洞评定、漏洞评分有异议的的情况下,可先在评论区进行反馈。若仍由异议可通过security@360.cn邮箱申请漏洞仲裁。

8、本标准所有内容最终解释权归360信息安全部所有。