途牛安全响应中心漏洞处理规范流程-途牛安全应急响应中心.pdfVIP

  • 4
  • 0
  • 约2.75千字
  • 约 7页
  • 2017-10-06 发布于天津
  • 举报

途牛安全响应中心漏洞处理规范流程-途牛安全应急响应中心.pdf

途牛安全响应中心漏洞处理规范流程-途牛安全应急响应中心

途牛安全响应中心漏洞处理规范流程 1. 基本原则 1.途牛关注用户的安全体验,我们承诺每一个白帽子反馈的安全漏洞我们都将安排专人进 行跟进,分析,并反馈最新的处理进展。 2.途牛对于每位恪守白帽子精神,积极维护用户以及途牛产品安全的白帽子们,我们将给 与感谢与反馈。 3.途牛反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏,损害用户利益的黑客 行为,包括但不限于利用漏洞盗取用户隐私,虚拟财产以及入侵系统、篡改敏感数据。 4.途牛希望加强与业界合作,通过“合作式漏洞披露与处理”集结业界安全专家、安全组 织机构共同维护互联网安全。 2.安全漏洞处理流程 【漏洞提交】 白帽子登录途牛安全应急响应中心提交报告,提交成功后显示状态“未处理”。 【漏洞审核阶段】 途牛安全中心工作日当天或隔天专员审核。不属于安全漏洞的报告状态变更为“未通 过”;已经确认的报告状态变更为“已确认”,同时我们会按照安全漏洞评分标准给予白 帽子相应积分,积分可兑换礼品。 【漏洞处理阶段】 漏洞修复需要一定时间,有新的进展我们会第一时间反馈给 提交者。修复后的报告状 态变更为“已修复”。 3. 基础贡献值(漏洞危害等级) 3.1. 严重:【50-100】 1)直接获取系统权限(服务器端权限、客户端权限)的漏洞,包括但不限于核心业务操 作系统、核心业务数据库、远程命令执行、上传并执行 webshell、缓冲区溢出等; 2)严重级别的敏感信息泄露。包括但不限于公司内部核心数据泄露、核心源代码泄漏、 用户敏感信息泄露等; 3)严重级别的逻辑设计缺陷。包括但不限于任意账号登陆、任意账号密码修改、大量 用户经济损失、订单及支付系统业务逻辑绕过等; 4)直接导致拒绝服务的漏洞。包括通过该远程拒绝服务漏洞直接导致线上应用系统、 网络设备、服务器无法继续提供服务的漏洞。 3.2. 高危:【30-50】 1)能直接盗取主站,网银等关键业务等用户身份信息漏洞,包括但不限于重点可造成 自动传播的存储型 XSS,非核心的 SQL 注入漏洞等; 2)高风险信息泄露漏洞。包括但不限于重要系统任意文件操作漏洞、源代码压缩包泄 露、配置信息泄露及公司内部重要信息泄露; 3)高风险的逻辑设计缺陷。包括但不限于查看任意用户敏感信息、修改用户敏感信息 等。 4) 越权访问重要应用系统,包括绕过验证直接访问后台、后台登录弱口令、以及其 他服务的弱口令等。 5)可获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出以及 逻辑问题导致的客户端漏洞。 3.3. 中危:[ 10-30 ] 1) 普通的信息泄漏,包括但不限于客户端明文存储密码,利用难度高的 sql 注入等; 2) 需交互才能获取用户身份信息的漏洞重要操作的 CSRF、普通业务的存储型 XSS 等; 3) 普通的越权操作以及设计缺陷和流程缺陷,包括但不仅限于不正确的直接对象引 用,身份数据篡改等; 3.4. 低危:[ 0-10 ] 1) 轻微的信息泄露,包括但不限于路径、phpinfo、svn、异常信息泄露等; 2) URL 跳转漏洞; 3) 不涉及资金、订单和用户敏感信息的逻辑设计缺陷和业务流程缺陷; 4) 只在特定浏览器或客户端环境下才能执行,且影响较小的漏洞,包括但不限于反 射型 XSS,非关键业务的存储型 XSS 等; 5) 公司内部系统数据泄露; 3.5. 无危害:[ 0 ] 1)不涉及安全问题的 bug。包括但不限于产品功能缺陷,页面乱码,样式乱码等; 2)无法利用的漏洞。包括但不限于 self-xss; 3)不能重现的漏洞。包括但不限于途牛安全应急响应中心专员无法重现的漏洞; 4)纯属用户猜测的问题; 5)非途牛旅游网业务漏洞; 4.业务系数及 rank 和安全币算法 4.1 业务分类 【核心业务】【业务系数3】业务中涉及会员、订单、资金、交易、品牌等的核心业务; 【一般业务】【业务系数1.5】: 业务中不涉及会员、订单、资金、交易、品牌等的一般业 务; 【边缘业务】【业务系数1】: 业务中不涉及途牛主要业务的边缘业务; 4.2 贡献值 由漏洞对应的危害程度以及业务的重要程度决定。 贡献值=基础贡献值*业务系数 4.3 安全币 由漏洞对应的危害程度以及业务的重要程度决定。 安全币=基础安全币*业务系数 4.5 白帽子获取安全币算法: 漏洞危害等

文档评论(0)

1亿VIP精品文档

相关文档