瓜子安全应急响应中心(GZSRC)安全漏洞处理规则

1.  平台介绍

瓜子安全应急响应中心(Guazi Security Response Center,以下简称GZSRC),作为瓜子二手车直卖网与白帽子间的交流平台。非常欢迎各位白帽子向我们反馈瓜子二手车直卖网的安全漏洞及威胁情报,以帮助我们不断提升和完善自身产品及业务的安全性,共建安全健康的互联网环境。

2.  适用范围

本流程适用于处理瓜子安全应急响应中心平台(https:// security.guazi.com)所收到有关车好多集团相关业务系统安全漏洞及威胁情报。

3.  实施日期

本规范自发布之日起实行

4.  基本原则

1)      瓜子二手车非常重视自身产品和业务的安全问题,我们承诺,对每一位报告者反馈的问题都有专人进行跟进、分析和处理,并及时给予答复。(安全漏洞未修复前,我们希望您不要公开和传播)

2)      瓜子安全应急响应中心(GZSRC)支持合作式的安全漏洞及威胁情报的上报和处理,对于每位帮助瓜子提升安全防护水平的网络安全从业人员(以下简称“白帽子”),我们将给予感谢和回馈。

3)      瓜子安全应急响应中心(GZSRC)反对和谴责一切以安全测试为借口,利用安全漏洞对瓜子的业务系统进行破坏、损害瓜子用户利益的一切行为。包括但不限于账户盗取、账户爬取、用户隐私收集、窃取用户数据、入侵业务系统、恶意传播漏洞等行为,同时瓜子保留采取进一步法律行动的权利。

4)      瓜子安全应急响应中心(GZSRC)认为每个安全问题的处理和整个安全行业的进步,都离不开各个安全组织的合作。希望安全企业、安全组织及安全研究者都携手起来,为瓜子二手车直卖网的整体安全建设提供支持!

5.  安全漏洞处理流程


5.1.  注册阶段

漏洞报送者需要访问瓜子安全应急响应平台(https:// security.guazi.com)注册提交漏洞的账号,并完善个人资料信息,请确保资料真实有效。

5.2.  报告阶段

漏洞报送者使用注册账号登录瓜子安全应急响应中心平台即可提交安全漏洞/威胁情报信息。(状态:待审核)

5.3.  审核阶段

1)漏洞提交后一个工作日内,瓜子安全应急响应中心(GZSRC)工作人员会及时确认收到的安全漏洞并开始审核和验证确认。

2) 漏洞确认后三个工作日内,GZSRC工作人员处理问题,得出结论并计分,已忽略及重复漏洞会说明原因并反馈给漏洞提交者。(状态:已确认/已忽略)必要时会与漏洞提交者沟通。

3)如果GZSRC安全工程师无法通过现有漏洞详情内容确定漏洞有效性,可将漏洞驳回,要求漏洞报送者补充漏洞详情,必要时会联系漏洞报送者予以协助。(漏洞状态:已驳回)

5.4.  修复阶段

漏洞风险确认后,会根据业务制定的修复方案实施修复并安排更新上线(状态:已修复)。修复时间根据问题的严重程度及修复难度而定,一般来说,严重漏洞8小时内,高危漏洞1个天内,中危漏洞5个天内,低危漏洞10个天内。客户端/APP安全漏洞受版本发布限制,修复时间跟进实际情况而定。

5.5.  复测阶段

漏洞确认修复后,GZSRC安全工程师会进行复测验证,如果复测不成功的,会重新返回业务进行修复;复测成功的,则漏洞状态会更改为已修复。

5.6.  完成阶段

瓜子安全应急响应中心(GZSRC)完成漏洞处理后,会更新漏洞处理状态,关闭该漏洞。

6.  安全漏洞定级标准

6.1.  业务范围等级标准

根据应用的重要程度将业务应用等级分为【核心系统】、【一般系统】、【边缘系统】

核心系统 :(业务系数:2)

核心系统应用包括:瓜子二手车直卖网、毛豆新车网、车速拍、金融业务、向日葵、检瓜子及智能视频管理系统的WEB和APP版本。

一般系统:(业务系数:1)

瓜子二手车内部和外部业务支撑系统,包括WEB版本和APP版本。

边缘系统:(业务系数:0.5)

瓜子二手车的办公类IT系统。除核心系统、一般系统外的瓜子二手车直卖网的业务系统。

6.2.  漏洞评分标准

漏洞的最终定级的评价标准在于漏洞对业务本身带来的影响。

漏洞评分参照CVSS 3.0进行漏洞评分判定。

针对的漏洞类型包括但不限于:Web安全漏洞,移动端安全漏洞,系统网络安全漏洞,业务安全漏洞,通用软件漏洞等。

漏洞积分=单个漏洞评分*权重系统*业务系统

对应表:(1积分=1元)

说明    等级

严重

高危

中危

低危

漏洞评分

9.0-10

7.0-8.9

4.0-6.9

0.1-3.9

权重系数

400

200

80

40

业务系数

(0.5;1;2)

(0.5;1;2)

(0.5;1;2)

(0.5;1;2)

积分范围

1800-8000

700-3600

160-1120

2-320

6.3.  漏洞危害等级评定

以下等级概况仅供参考,实际定级以最终GZSRC平台审核结果为准。

1)    严重,本等级包括:

a)      严重的敏感信息泄露,包括但不限于可以获取重要数据的SQL注入漏洞(四要素、车源信息、交易信息等)、源代码泄露以及任意文件读取和下载漏洞(如包含账号口令),系统权限控制不严格等导致的敏感数据泄露漏洞,公司内部核心业务系统数据泄露等;

b)     严重的逻辑设计缺陷和流程缺陷。包括但不限于任意账号登陆、任意账号密码密保修改、帐密校验逻辑、核心接口数据验证逻辑、支付逻辑漏洞等,以任意人身份敏感操作等;

c)      远程直接获取核心系统权限的漏洞(服务端和客户端),包括但不限于远程任意命令执行、远程代码执行、上传获取WebShell、缓冲区溢出、SQL注入获取系统权限等;

d)     直接获取基础架构系统权限包括但不限于:核心业务操作系统、核心业务数据库、防火墙配置等;

e)      直接导致核心业务系统拒绝服务的漏洞。包括但不仅限于直接导致线上业务拒绝服务、可导致大量用户崩溃掉线等。(DDoS、CC攻击等资源耗费型的拒绝服务除外);

2)    高危,本等级包括:

a)      敏感信息泄露。包括但不仅限于非核心DBSQL注入、源代码压缩包泄露、可获取大量用户交易信息的接口、服务器、应用加密可逆或明文的敏感信息泄露;

b)     越权访问,包括但不限于敏感信息修改、敏感信息读取、进行涉及重要业务配置修改、绕过认证直接访问管理后台、后台弱口令,订单遍历、获取大量内网敏感信息等。

c)      涉及资金、订单和用户敏感信息的逻辑设计缺陷和业务流程缺陷;

d)     SSRF类型漏洞可探测内网等;

e)      本地代码执行漏洞,包括但不限于内存破坏、类型混淆、整数问题等导致的可利用本地代码执行漏洞;

f)       大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS(包括存储型DOM-XSS)、涉及交易、资金、密码的CSRF;

3)    中危,本等级包括:

a)      需交互才能获取用户身份信息的漏洞。包括但不限于核心业务的存储型XSS、反射型XSS、JSON劫持、重要敏感操作的CSRF、URL跳转漏洞;

b)     普通信息泄露。包括但不仅限于客户端明文存储密码、客户端密码明文传输以及web路径遍历、系统路径遍历。边缘系统的普通代码泄露;

c)      普通越权操作,包括但不仅限于不正确的直接对象引用,越权读取、越权篡改数据、越权访问一般系统、边缘系统的后台;

d)     普通但有一定影响的逻辑设计缺陷和业务流程缺陷;

e)      可导致资源滥用或造成对用户骚扰的漏洞,包括但不限于:短信炸弹、邮件炸弹等;

4)    低危,本等级包括:

a)      客户端本地拒绝服务漏洞。包括但不仅限于组件权限导致的本地拒绝服务漏洞;

b)     远程拒绝服务漏洞,包括但不限于攻击接口、页面、组件导致的拒绝服务等;

c)      轻微信息泄露。包括但不限于路径信息泄露、phpinfo、异常信息泄露、无具体代码的SVN/GIT(git)/github信息泄露、以及客户端应用本地SQL注入(仅泄露数据库名称、字段名、cache内容)、日志打印、配置信息、已脱敏的用户信息泄露等;

d)     无限制短信接口,可存在暴力破解的接口;

e)      其他只能造成轻微影响的漏洞。包括但不仅限于URL跳转、系统/服务运维配置不当、组件权限漏洞等。

5)    无危害(忽略)

a)      无法重现的漏洞。包括但不限于经GZSRC审核者多次确认无法重现的漏洞;

b)     内部已知、正在处理的漏洞,包括已在其他平台公开通用的,白帽子、内部已发现的漏洞;

c)      无业务安全影响的BUG,包括但不限于产品功能缺陷、页面乱码、样式混乱等问题;

d)     无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的CSRF、无敏感信息的JSON劫持,无意义的源码泄露。

e)      涉及第三方系统、不属于瓜子二手车业务漏洞。

6.4.  威胁情报等级标准评定:

1)    严重,本等级包括:

a)      针对核心业务系统、办公网络的入侵情报。如核心生产服务器的入侵、核心数据库的拖库等;

b)     重大0 Day漏洞。如核心服务器软件、系统等未公开或半公开漏洞,核心软件等未公开或半公开的漏洞等;

c)      大批量用户敏感信息泄露。如用户身份信息、订单信息等;

d)     威胁情报中描述的事件对瓜子网络会产生重大影响等。

2)    高危,本等级包括:

a)      针对非核心业务的入侵情报;

b)     可造成重大影响的新型病毒、木马、蠕虫等;

c)      对核心业务造成较大影响的威胁组织活动情报。如数据查询外挂等;

d)     内部机密情报泄露。如合作伙伴业务数据等;

3)    中危,本等级包括:

a)      针对本行业新型攻击技术或数据窃取方法;

b)     新型可利用的工具、平台。如漏洞利用工具、外挂程序、针对物流行业的扫单程序等;

c)      一般风险的业务安全问题。如营销活动作弊、业务规则绕过等;

4)    低危,本等级包括:

a)      威胁组织基础信息。包括但不限于威胁组织相关人员、架构、规模、地域、活动情况等信息、交流及销售渠道、使用的工具和平台、造成的相关影响、行业动态等;

b)     舆情舆论。包括但不限于涉及到瓜子网络的恶意言论、谣言等。

7.  评分标准通用原则

1)      评分标准仅适用于车好多集团所有产品和服务,(目前仅收集以下域名:*.guazi.com;*.maodou.com。)

2)      重复提交漏洞,同一个漏洞一个月内重复上报,则忽略处理;超过一个月再次上上报,则需要以新漏洞处理。若瓜子二手车对外发布了最新版本的并进行修复,则忽略漏洞,但非安全修复原因导致最新版本漏洞不存在,则当新漏洞处理;

3)      通用漏洞,同一漏洞源引发的多个漏洞计漏洞数量为一个,按照最高级别的漏洞奖励标准执行,例如:同一个JS引起的多个XSS漏洞、同一个发布系统引起的多个页面的XSS漏洞、框架导致的整站XSS/CSRF漏洞、泛域名解析产生的多个XSS漏洞、同一个URL多个参数的相同问题等;

4)      同一漏洞,首位报送提交者计贡献值和积分,其他报送提交者均不计;报告网上已公开的漏洞及安全部已知问题不计贡献值和积分;

5)      等级漏洞的最终积分由漏洞利用难度及影响范围等综合因素决定;

6)      漏洞提交报告应尽量详细、规范。提供详细的漏洞详情、漏洞原理、利用方式以及修复建议的可以酌情加分。漏洞需证明其存在并可利用,对于poc或exploit未提供或者没有详细分析的漏洞提交将直接影响该漏洞的评定。

7)      严格保密已提交的漏洞,如若泄密一经发现撤回所有奖励;

8)      以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,将不计积分,同时瓜子安全应急响应中心将保留采取进一步法律行动的权利;

9)      车好多集团员工不得有任何借助平台牟取私利的行为。漏洞奖励处理标准的解释权归瓜子安全应急响应中心所有。

8.  争议解决方法

在漏洞处理过程中,如果漏洞报告者对处理流程、漏洞定级、漏洞评分等有异议的,请通过联系微信群或发送GZSRC邮箱(GZSRC@guazi.com)与我们联系。瓜子安全应急响应中心(GZSRC)将根据漏洞报告者利益优先的原则进行处理,必要时可引入外部人士共同裁定。