微博安全应急响应中心漏洞处理流程和评分标准
一、基本原则
1.微博安全应急响应中心本着衷心欢迎安全研究人员、白帽子、以及合作伙伴反馈微博下各产品线漏洞的原则,对提交的每一个有效漏洞都会人工进行审核、复审、抽查,确保反馈的漏洞得到相应价值的奖励、以及及时、完善的修复。
2.微博安全应急响应中心对于发现漏洞却进行恶意利用的行为,包括但不限于利用漏洞入侵业务系统、盗取用户隐私/财产、恶意传播漏洞,会诉诸法务部门进入法律流程;同时,禁止使用有影响力的微博账号进行测试。
3.对于在多家漏洞报告平台多次提交同一个漏洞、反复提交无效漏洞的行为,我们会相应扣减该白帽子的信誉值,并予以公示。
4.微博员工请通过内部渠道报告漏洞。如经查发现是微博员工或通过朋友参与本奖励规则所述的活动,我们有权不给予奖励,已给予的奖励有权收回,并将保留进一步内部处理的权利。
5.对于微博投资的业务或与微博合作的第三方业务,漏洞对微博业务有影响的不论漏洞严重性和数量,单个漏洞金币奖励不超过 200,最高定级为【中危】;漏洞对微博业务没有影响的忽略处理(如可能会对微博造成影响的漏洞会酌情进行处理评分并联系相关负责人)。此类业务包括但不限于微任务、微热点、微舆情、微博动漫、微博云剪等。
6.如果您对本流程有任何意见建议,请通过关注【微博安全应急响应中心】官博私信留言向我们反馈,您的建议一经采纳,我们将送出精美的礼品作为答谢。
二、威胁反馈与处理流程
【提交阶段】
白帽子使用微博账号登录WSRC平台(https://wsrc.weibo.com/)并提交漏洞报告。
【处理阶段】
收到漏洞后,3个工作日内审核完成,审核结果会在WSRC主站的个人通知中显示,并给与有效漏洞报告者相应的积分、金币奖励。
【修复阶段】
根据漏洞修复难度,具体情况具体对待。通常来讲,审核完成后,漏洞会按照相应的危害级别第一时间进行修复,高危,严重级别的漏洞会优先修复。
三、积分奖励计算方法
我们根据业务功能的属性及重要程度,将其分成【核心】、【一般】两个等级。
核心业务:
微博主站和微博客户端中涉及个人敏感信息和资金相关的重要业务,具体包括:支付、红包、广告、通行证以及泄漏身份证、手机号等个人敏感信息的业务;
一般业务:
微博主站和微博客户端中不涉及个人敏感信息和资金相关的一般业务,和其余微博自研业务产品线的移动应用、客户端、Web站点等相关产品;
严重漏洞额外现金奖:
对于为核心业务提供高质量严重漏洞报告的白帽子,WSRC将额外提供现金奖励人民币10000元。
月度奖励:
每月月度积分排名前三者,根据排名先后分别奖励1000、500、200金币。
注:当月积分数值大于月度奖励数值方可领奖,例:第一名月度积分>=1000、第二名月度积分>=500、第三名月度积分>=200。
*排名规则为:严重积分>高危积分>中危积分>低危积分>提交时间
四、漏洞评分标准
根据漏洞危害程度分为严重、高、中、低、无五个等级,每个等级评分标准如下:
[ 严重 ]
1.直接获取核心系统权限的漏洞(服务器权限、客户端权限)。包括但不限于远程任意命令执行、上传 webshell、可利用远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、可利用浏览器 use after free 漏洞、可利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞。
2.直接导致严重的信息泄漏漏洞。包括但不限于重要 DB 的 SQL 注入漏洞、用户敏感信息接口越权导致的大范围泄漏等。
3.核心系统中导致严重影响的逻辑漏洞和流程缺陷。包括但不限于伪造任意微博帐号发送消息漏洞、批量修改帐号密码漏洞、支付系统逻辑漏洞等。如果漏洞利用时仅可弹出骚扰无法指定可阅读的内容,则不适用于定级为严重漏洞。
[ 高 ]
1.直接获取一般系统权限的漏洞(服务器权限、客户端权限)。包括但不限于远程任意命令执行、远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、浏览器 use after free 漏洞、远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行漏洞。
2.高风险的信息泄漏漏洞。包括但不限于于非核心 DB SQL 注入、源代码压缩包泄漏、带回显的SSRF、任意文件包含等。
3.导致高影响的逻辑漏洞和流程缺陷。包括但不限于暴力破解用户密码、无限注册账号,验证码回显重用,对经济价值影响较大的条件竞争漏洞等。
4.核心系统敏感操作越权漏洞。包括但不限于敏感管理后台登录,越权修改其他用户重要信息、进行订单操作、重要业务配置修改、核心业务后台弱密码等。
5.大范围影响其他用户的漏洞。包括但不限于核心系统重要页面的XSS,可获取核心cookie且具有传播性的各种xss以及涉及资金、密码的CSRF。
[ 中 ]
1.普通信息泄漏漏洞。包括但不限于不涉及敏感数据的sql注入、可获取敏感信息或者执行敏感操作的重要客户端产品的 XSS 漏洞、无回显的SSRF漏洞等。
2.具有一定影响的逻辑缺陷漏洞。包括但不限于一般业务系统的越权行为和设计缺陷、经济价值影响较小的漏洞(如并发领取微博优惠券)、批量向未关注人发送私信等。
3.需交互才能获取用户身份信息的漏洞。包括但不限于反射型 XSS(包括反射型 DOM-XSS)、JSON Hijacking、重要敏感操作的 CSRF、影响较小的存储型 XSS等。
4.普通越权漏洞。包括但不限于越权查看可造成有限危害的信息、越权访问一般系统后台等、一般系统后台弱口令等。
5.程拒绝服务漏洞。包括但不仅限于客户端远程拒绝服务(解析文件格式、网络协议产生的崩溃),由 Android 组件权限暴露、普通应用权限引起的问题等(默认配置情况下)。
[ 低 ]
1.轻微信息泄漏漏洞。包括但不限于路径泄漏、SVN 文件泄漏、phpinfo、logcat 敏感信息泄漏、本地SQL注入、日志打印、配置信息、异常信息等。
2.只在特定非流行浏览器环境下(如 IE6 等)才能获取用户身份信息的漏洞。包括但不限于反射型 XSS(包括反射型 DOM-XSS)、边缘业务的存储型 XSS 等。
3.本地拒绝服务漏洞。包括但不仅限于客户端远程拒绝服务(解析文件格式、网络协议产生的崩溃),由 Android 组件权限暴露、普通应用权限引起的问题等(默认配置情况下)。
4.利用场景有限的漏洞。包括但不限于绕过客户端主动防御、任意URL 跳转、短信炸弹、邮件炸弹等。
5.难以利用但又可能存在安全隐患的问题。包括但不限于可能引起传播和利用的 Self-XSS、非重要的敏感操作 CSRF 以及需借助中间人攻击的远程代码执行漏洞并提供了有效 PoC。
[ 无 ]
1.无关安全的 bug。包括但不限于网页乱码、网页无法打开、某功能无法用、无影响的逻辑漏洞、无实际影响的URL跳转等。
2.无法利用的“漏洞”。包括但不限于没有实际意义的扫描器漏洞报告(如 Web Server 的低版本)、Self-XSS、无敏感信息的 JSON Hijacking、内网 IP 地址/域名泄漏、401 基础认证钓鱼、程序路径信任问题、无敏感信息的 logcat信息泄漏等。
3.无影响的漏洞。包括但不限于部分内部存在审核机制的提交接口所涉及的CSRF、越权提交、运营预期之内或无法造成资金损失的问题(如可使用多个账号领取小额奖励的正常业务活动)、无法获取内网相关服务器信息的SSRF漏洞等。
4.重复的漏洞。包括但不限于通用平台如 Jenkins 等已在网络上公开的漏洞、内部安全人员已经发现的漏洞、已有其他白帽子优先提交的漏洞。
5.无法重现的漏洞及无根据的猜测。包括但不限于和漏洞审核员反复沟通均无法复现的漏洞。
6.非微博业务漏洞。
五、安全情报评分标准
[ 严重 ]
积分2000-4000
额外现金奖励(人民币):5000元
1.服务器被入侵且提供了入侵行为方式等相关线索。
2.重要业务数据库被拖取且提供了数据库名或数据库文件等相关线索。
3.重大金融逻辑漏洞线索,例如支付类严重逻辑漏洞。
4.涉及必要的合规功能缺失,如App无隐私政策等。
[ 高 ]
积分500-1500
1.蠕虫传播且提供了蠕虫传播的链接等相关线索。
2.用户身份信息大规模被窃取且提供了攻击代码等相关线索。
3.涉及敏感个人信息、敏感权限等合规问题,如超前索权、强制收集个人信息。
[ 中 ]
积分50-150
1.能够帮助完善防御系统以防御高风险及以上级别危害的新型攻击方式、技术等,例如新型 WebShell、DDoS 等攻击方式。
2.涉及一般个人信息、一般权限或《隐私协议》描述缺少等合规问题。
[ 低 ]
积分5-50
1.反垃圾、反盗号策略被破解。
2.攻击者相关信息。
3.涉及隐私政策文本语意模糊等合规问题。
注:对同一个情报,多个APP存在相同/类似问题,首次提交根据以上规则定级,非首次提交将根据实际影响等情况酌情进行降级处理。
六、评分标准通用原则
1.各等级漏洞的最终积分由漏洞利用难度及影响范围等综合因素决定,若触发条件非常苛刻(如:特定浏览器才可触发的 XSS 漏洞),特殊时期(如重要活动内传播影响大的业务逻辑漏洞),需要特殊账号权限才能发现利用的漏洞,经审核可能跨等级调整积分。
2.通用型漏洞(如由同一个漏洞源产生的多个漏洞)一般计漏洞数量为一个。例如同一个JS 引起的多个 XSS 漏洞、同一个发布系统引起的多个页面的 XSS 漏洞、框架导致的整站 XSS/CSRF 漏洞、泛域名解析产生的多个 XSS 漏洞、同一域名下同一组件产生的多个 flash xss 漏洞等。
3.对于第三方库(比如 libpng、zlib、libjpeg 等)导致的客户端漏洞(包括 PC 和移动端),且可以通过升级或者更换第三方库可完成修复的漏洞,仅给首个漏洞报告者计分。
4.同一个域名的同类问题在十四个工作日内重复提交,记前三个为有效(3个以上同类问题建议打包提交,将酌情提高评分)。
5.提交漏洞时,对提供详细漏洞触发点 url 数据包或者链接以及需要的账户权限的用户,将适当提高漏洞奖励,对详细描述中不贴 url 链接的,将适当扣分。
6.报告者在进行渗透测试时,如在线上对业务做增删改操作时,请勿直接对正常用户数据做操作,数据添加请在标题或明显字段增加【我是测试】字样,以便于WSRC和业务方识别数据真实性。
7.SQL 注入测试过程中,证明危害即可,获取十条以上数据者将根据实际情况做出相应处理(取消奖励同时微博保留采取进一步法律行动的权利)。延时函数请勿使用大数,以免对业务造成影响。
8.短信轰炸的定义:单一IP/用户半小时内定向发送超过50条后无任何限制。使用短信接口不受限制向不同手机发送 1 条短信的问题目前暂时忽略。
9.威胁情报的定级根据提供信息完整度及影响综合评定。对于业务侧/风控已有感知的业务情报,将结合已知信息评定/忽略。对于多人提交同一情报的情况,根据情报丰富度判断是否再次收录,即后提交者的情报信息更完整详细也将予以奖励。在提交情报时,请尽可能详细完整。
10.威胁报告禁止保存在互联网开放的云服务中(包括但不限于云盘、云笔记等),因漏洞报告内容保存于云服务导致的漏洞泄露风险一经确认,当前报告不计分。白帽子如需在漏洞修复后将技术细节用作学习交流,需经微博同意。
11.由于业务调整,不再更新的客户端产品(包括但不限于星球视频、鲜橙app等)将不予计分,原则上也不会修复。
12.本协议最终解释权归微博信息安全部所有。
七、争议解决办法
在漏洞处理的过程中,如果报告者对处理流程、漏洞评定、漏洞评分等存有异议的,可在微信WSRC白帽子交流群中联系管理员交流反馈。WSRC将根据漏洞报告者利益优先的原则进行处理。
微博安全应急响应中心 2023.11.06