萤石外部安全报告处理流程.docVIP

萤石外部安全报告处理流程 编写人 萤石安全应急响应中心 版本号 2.0 一、基本原则： 1) 萤石非常重视自身产品和业务的安全问题，我们承诺，对每一位报告者反馈的问题都有专人进行跟进、分析和处理，并及时给予答复。 2) 萤石支持负责任的漏洞披露和处理过程，我们承诺，对于每位保护用户利益，帮助萤石提升安全质量的用户，我们将给予感谢和回馈。 3) 萤石反对和谴责一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益的黑客行为，包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、非授权获取系统（业务）数据、窃取用户数据、恶意传播漏洞或数据等。 4) 萤石认为每个安全漏洞的处理与整个安全行业的进步，都离不开各方的共同合作。萤石希望加强与业界企业、安全公司、安全研究者的合作，共同维护行业信息安全。 二、 漏洞反馈与处理流程 【漏洞提交】 漏洞报告者发送邮件至security.sp7@来报告您所发现的安全漏洞。 【漏洞审核阶段】 1) 一个工作日内，萤石安全应急响应中心（Ys7 Security Response Center，以下简称 YSRC）工作人员会确认收到漏洞报告并跟进开始评估问题。 2) 三个工作日内，YSRC 工作人员处理问题、给出结论。必要时会与报告者沟通确认，请报告者予以协助。 【修复完成阶段】 业务部门修复漏洞，修复时间根据问题的严重程度及修复难度而定， 严重和高风险漏洞 24 小时内，中危风险三个工作日内，低危风险七个工作日内。部分漏洞受版本发布限制，修复时间根据实际情况确定。 严重或重大影响漏洞会单独发布紧急安全公告。 三、 安全漏洞评估标准 根据漏洞危害程度分为高危、 中危、低危、忽略四个等级，每个等级评估如下： 【高危】 1) 直接获取系统权限（服务器端权限、客户端权限）的漏洞。包括但不仅限于：命令注入、远程命令执行、上传获取 WebShell、SQL 注入获取系统权限、缓冲区溢出（包括可利用的 ActiveX 缓冲区溢出）、远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行漏洞。 2) 严重的逻辑设计缺陷。包括但不仅限于任意账号登陆、任意账号密码修改、任意账号资金消费、订单遍历、交易支付方面的严重问题。 3) 严重级别的信息泄漏 。包括但不限于重要DB的SQL注入漏洞。 【中危】 1) 能直接盗取用户身份信息的漏洞。包括重点页面的存储型XSS漏洞、普通站点的SQL注入漏洞。 2) 越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码。 3) 高风险的信息泄漏漏洞。包括但不限于源代码压缩包泄漏。 【低危】 1) 需交互才能获取用户身份信息的漏洞。包括但不限于反射型 XSS（包括反射型 DOM-XSS）、JSON Hijacking、重要敏感操作的CSRF、普通业务的存储型 XSS。 2) 本地应用拒绝服务漏洞（包括一些较难利用的客户端漏洞）、敏感信息泄露、内核拒绝服务漏洞、可获取敏感信息或者执行敏感操作的XSS漏洞。 3) 普通信息泄漏漏洞。包括但不限于客户端明文存储密码、密码明文传输、包含敏感信息（如DB 连接密码）的压缩包泄漏。 4) 普通越权操作。包括但不仅限于不正确的直接对象引用。 5) 普通逻辑设计缺陷。包括但不仅限于短信验证码绕过、邮件验证绕过。 6) 轻微信息泄漏漏洞。包括但不限于路径泄漏、SVN信息泄漏。 7) 移动客户端本地拒绝服务漏洞。包括但不限于组件权限导致的本地拒绝服务漏洞。 8) URL跳转。包括但不仅限于未验证的重定向和转发。 9) 难以利用但又可能存在安全隐患的问题。包括但不限于可能引起传播和利用的 Self-XSS以及非重要敏感操作的CSRF、文件解析漏洞。 【忽略】 1) 无关安全的bug。包括但不限于网页乱码、产品功能缺陷、样式混乱。 2) 无法利用的“漏洞”。包括但不限于没有实际意义的扫描器漏洞报告（如 Web Server的低版本）、Self-XSS、无敏感信息的 JSON Hijacking、无敏感操作的 CSRF。 3) 不能直接体现漏洞的其他问题。包括但不仅限于纯属用户猜测的问题。 4) 不能重现的漏洞。包括但不仅限于经YSRC专员确认无法重现的漏动。 5) 通过其他渠道已经获知的漏洞做忽略处理。 【评估标准通用原则】 评估标准仅针对萤石产品和业务。域名包括下的主域名和子域名，产品为萤石发布的产品或解决方案。与萤石业务完全无关的漏洞，无奖励。 以上评估标准仅做技术层面的参考，最终危害将以技术面危害和实际业务的影响作为判定标准。 确认为非生产环境（比如测试平台、体验平台）的漏洞危害等级将降一等级。 4) 提交网上已公开的漏洞无奖励。 5) 同一漏洞最早提交者有奖励。 6) 由同一个漏洞源产生的多个漏洞计漏洞数量为一个，例如；服务器