百度安全响应中心漏洞奖励细节V0-百度安全应急响应中心.PDFVIP

百度安全响应中心漏洞奖励细节V4.0 （试用版） 版本号 修订内容 发布日期 V2.0 发布第一版 2013-07-25 V3.0 更新评分标准；更新奖品发放流程 2015-01-23 V4.0 更新漏洞评分体系 ；新增【严重】级别漏洞评分标准； 2015-11-04 （试用版 ） 全面提升漏洞奖励力度 ；明确高质量漏洞奖励规则 目录 一、 适用范围 1 二、 实施日期 1 三、 漏洞提交与反馈流程 1 四、 安全漏洞评分标准 2 五、 评分标准通用原则 5 六、 奖励发放原则 6 七、 争议解决办法 7 FQA 7 2 / 10 一、适用范围 本流程适用于百度漏洞反馈平台（ ）所收到的安全漏洞报告。 二、实施日期 2015 年 11 月 5 日 00:00-11 月 30 日 00:00 试运行阶段。 试运行期间 BSRC 会收集用户对本 V4.0 的反馈建议 ，根据用户建议进行二次修订 ，并 于 2015 年 12 月发布 V4.0 正式版。 如果您对本流程有任何的建议，欢迎通过邮箱 security@ ；新浪微博私信 @百度安全应急响应中心 ；或者通过 QQ 323198660 留言的方式向我们反馈。建议 一经采纳 ，BSRC 会送出专属定制礼品。 三、漏洞提交与反馈流程 1 / 10 四、安全漏洞评分标准 根据漏洞对公司整体业务的影响程度将漏洞等级分为【严重】、【高】、【中】、【低】、【忽 略】五个等级。每个漏洞所得安全币数量=基础安全币*业务等级系数。由 BSRC 结合利 用场景中漏洞的严重程度、利用难度、影响范围等综合因素进行漏洞评级，并给予相应 安全币，每种等级包含的评分标准及漏洞类型如下： 【严重 】 核心系统应用中的高危漏洞， 业务等级系数【1-10】，基础安全币 【135~150】，本等级包括： 1. 直接获取核心系统权限的漏洞（服务器权限、PC 客户端权限）。包括但不仅限于 重要业务的：远程命令执行、任意代码执行、上传获取 Webshell、SQL 注入获取 系统权限，重要产品客户端缓冲区溢出（包括可利用的 ActiveX 缓冲区溢出）。 （注：核心系统例如百度 passport 服务器、百度钱包交易处理服务器） 2. 直接导致核心系统业务拒绝服务的漏洞。包括但不仅限于直接导致移动网关业务 API 业务拒绝服务、网站应用拒绝服务等造成严重影响的远程拒绝服务漏洞（例 如可造成删除 war 包导致网站挂掉）。 2 / 10 3. 核心系统的严重敏感信息泄漏。包括但不仅限于核心 DB （用户信息、交易信 息） 的 SQL 注入，可获取大量用户的身份信息、订单信息、银行卡信息等接口 问题引起的敏感信息泄露。 4. 核心系统中严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量 发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。 【高 】 非核心系统中的高危漏洞，或核心系统中的一般漏洞，业务等级系数【1- 10】 ，基本安全币【45-60】，本等级包括： 1. 属于严重级别中所描述的漏洞类型，但是产生在非核心系统中的漏洞（例如非核 心系统的远程任意命令执行），以及移动端 App 命令执行类漏洞（例如 Android WebView 远程代码执行漏洞） 2. 访问任意系统文件的漏洞，包括但不限于任意文件包含、任意文件读取。 3. 其它敏感信息泄漏。包括但不限于源代码压缩包泄漏、UC-Key 泄露、 HEARTBLEED 漏洞等。同时包括通过SVN 信息泄漏、Git 信息泄露导致的重要产 品线源码泄露。 4. 包含敏感信息的非授权访问。包括但不仅限于绕过认证直接访问管理后台