途牛安全响应中心漏洞处理规范流程-途牛安全应急响应中心.pdfVIP

途牛安全响应中心漏洞处理规范流程 1. 基本原则 1.途牛关注用户的安全体验，我们承诺每一个白帽子反馈的安全漏洞我们都将安排专人进 行跟进，分析，并反馈最新的处理进展。 2.途牛对于每位恪守白帽子精神，积极维护用户以及途牛产品安全的白帽子们，我们将给 与感谢与反馈。 3.途牛反对和谴责一切以漏洞测试为借口，利用安全漏洞进行破坏，损害用户利益的黑客 行为，包括但不限于利用漏洞盗取用户隐私，虚拟财产以及入侵系统、篡改敏感数据。 4.途牛希望加强与业界合作，通过“合作式漏洞披露与处理”集结业界安全专家、安全组 织机构共同维护互联网安全。 2.安全漏洞处理流程 【漏洞提交】 白帽子登录途牛安全应急响应中心提交报告，提交成功后显示状态“未处理”。 【漏洞审核阶段】 途牛安全中心工作日当天或隔天专员审核。不属于安全漏洞的报告状态变更为“未通 过”；已经确认的报告状态变更为“已确认”，同时我们会按照安全漏洞评分标准给予白 帽子相应积分，积分可兑换礼品。 【漏洞处理阶段】 漏洞修复需要一定时间，有新的进展我们会第一时间反馈给 提交者。修复后的报告状 态变更为“已修复”。 3. 基础贡献值(漏洞危害等级) 3.1. 严重:【50-100】 1）直接获取系统权限(服务器端权限、客户端权限)的漏洞，包括但不限于核心业务操 作系统、核心业务数据库、远程命令执行、上传并执行 webshell、缓冲区溢出等； 2）严重级别的敏感信息泄露。包括但不限于公司内部核心数据泄露、核心源代码泄漏、 用户敏感信息泄露等； 3）严重级别的逻辑设计缺陷。包括但不限于任意账号登陆、任意账号密码修改、大量 用户经济损失、订单及支付系统业务逻辑绕过等； 4）直接导致拒绝服务的漏洞。包括通过该远程拒绝服务漏洞直接导致线上应用系统、 网络设备、服务器无法继续提供服务的漏洞。 3.2. 高危:【30-50】 1）能直接盗取主站，网银等关键业务等用户身份信息漏洞，包括但不限于重点可造成 自动传播的存储型 XSS，非核心的 SQL 注入漏洞等； 2）高风险信息泄露漏洞。包括但不限于重要系统任意文件操作漏洞、源代码压缩包泄 露、配置信息泄露及公司内部重要信息泄露； 3）高风险的逻辑设计缺陷。包括但不限于查看任意用户敏感信息、修改用户敏感信息 等。 4） 越权访问重要应用系统，包括绕过验证直接访问后台、后台登录弱口令、以及其 他服务的弱口令等。 5）可获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出以及 逻辑问题导致的客户端漏洞。 3.3. 中危:[ 10-30 ] 1） 普通的信息泄漏，包括但不限于客户端明文存储密码，利用难度高的 sql 注入等； 2） 需交互才能获取用户身份信息的漏洞重要操作的 CSRF、普通业务的存储型 XSS 等； 3） 普通的越权操作以及设计缺陷和流程缺陷，包括但不仅限于不正确的直接对象引 用，身份数据篡改等； 3.4. 低危:[ 0-10 ] 1） 轻微的信息泄露，包括但不限于路径、phpinfo、svn、异常信息泄露等； 2） URL 跳转漏洞； 3） 不涉及资金、订单和用户敏感信息的逻辑设计缺陷和业务流程缺陷； 4） 只在特定浏览器或客户端环境下才能执行，且影响较小的漏洞，包括但不限于反 射型 XSS，非关键业务的存储型 XSS 等； 5） 公司内部系统数据泄露； 3.5. 无危害:[ 0 ] 1）不涉及安全问题的 bug。包括但不限于产品功能缺陷，页面乱码，样式乱码等； 2）无法利用的漏洞。包括但不限于 self-xss； 3）不能重现的漏洞。包括但不限于途牛安全应急响应中心专员无法重现的漏洞； 4）纯属用户猜测的问题； 5）非途牛旅游网业务漏洞； 4.业务系数及 rank 和安全币算法 4.1 业务分类 【核心业务】【业务系数3】业务中涉及会员、订单、资金、交易、品牌等的核心业务； 【一般业务】【业务系数1.5】: 业务中不涉及会员、订单、资金、交易、品牌等的一般业 务； 【边缘业务】【业务系数1】: 业务中不涉及途牛主要业务的边缘业务； 4.2 贡献值 由漏洞对应的危害程度以及业务的重要程度决定。 贡献值=基础贡献值*业务系数 4.3 安全币 由漏洞对应的危害程度以及业务的重要程度决定。 安全币=基础安全币*业务系数 4.5 白帽子获取安全币算法: 漏洞危害等