DMSRC-多点生活业务范围及重要程度判断标准

公告编号:DMSRC-多点生活业务范围及重要程度判断标准作者:Dmsrc-admin发布日期:2023/05/12


一、业务范围及重要程度判断标准

  1. 业务域名范围:

   *.dmall.com

   *.dmall-os.cn

   *.rta-os.com


  1. 涉及多点支付系统、多点账户系统、多点用户敏感信息、订单详细信息的可被视为多点【核心业务】。不涉及核心业务的信息属于【一般业务】;

  2. 其它第三方系统(如:无容器三方应用)只收取高危及以上漏洞或影响多点数据的漏洞,且对评分上可能根据对多点的影响做降分处理;

  3. 暂不收录med.dmall.com该域名漏洞




    注意:

     1. 敏感信息、日志信息与接口信息、内存信息等泄露请证明危害与利用后果,否则按照低危漏洞或无影响处理

     2.上传接口任意文件上传至CDN存在XSS漏洞或其他问题属内部已知漏洞,目前正在整改中,暂不收入



二、安全威胁评分说明

DMSRC威胁报告主要包含Web、威胁情报、通用组件和插件漏洞四个报告内容,下面会对每个部分的规则做评分说明。 根据威胁对业务的安全风险,威胁分为严重、高危、中危、低危、无影响(忽略)五个等级。多点相关业务,根据业务重要程度分为:核心业务、一般业务所有威胁报告将结合漏洞实际利用危害、利用难度及业务重要程度,其中边缘业务需要考虑到对多点的影响,进行评估最终报告得贡献值。

三、多点SRC漏洞报告奖励标准

奖励规则:通过向DMSRC提交安全报告,经确认后,我们会根据漏洞严重程度给予积分奖励,积分可折算为安全币(1安全币价值约等于5人民币),积分、权重、应用系数对应关系如下:

漏洞类型

积分

权重

核心业务系数

一般业务系数

严重

9~10

30

3

1

高危

6~8

15

3

1

3~5

3

3

1

1~2

1

3

1

安全币=积分*权重*系数

安全币范围

严重

高危

中危

低危

核心业务

810-900

270-360

27-45

3-6

一般业务

270-300

90-120

9-15

1-2

注:1安全币=5人民币

四、多点SRC威胁情报奖励标准

由于情报的完整性对情报的价值有着重要的影响,因此我们上报情报的价值会进行情报完整性考量。威胁情报奖励以漏洞报告奖励标准的一般业务为准,情报完整性系数的评价将综合考虑情报的多个方面,如下:

威胁情报等级

严重

高危

中危

低危

安全币

810-900

270-360

27-45

3-6

注:1安全币=5人民币

Who:情报涉及到的威胁人员,如可定位到入侵者个体或组织的情报;

Where:情报所涉及的利用点,如订单信息泄露页面或接口;

How:情报所涉及的问题是如何被利用的,包括相应的流程、技术手段、工具等;

What:情报所涉及的主要问题,如黑产、入侵、刷单等;

严重情报:本等级包括:对核心业务、系统、办公网络造成重大影响,或对多点造成大量资金损失的威胁情报。

高危情报:本等级包括:对核心业务、系统、办公网络造成较大影响,或对多点造成较大资金损失的威胁情报。

中危情报:本等级包括:对核心业务、系统、办公网络造成一定影响,或对多点造成一定资金损失的威胁情报。

低危情报:本等级包括: 对业务、系统、办公网络造成轻微影响的威胁情报。

i.我们鼓励提交尽量完整的情报信息,情报信息的完整度及危害程度将直接影响情报得分及漏洞评级。

ii.我们鼓励发现如:黄赌毒等恶意内容、恶意注册马甲号、社区灌水帖等不限于上述业务的完整可靠有价值的安全情报。

五:评分标准

严重漏洞:

1. 直接获取核心系统权限(服务器端权限、客户端权限)的漏洞。包括但不限于:命令注入、远程命令执行、上传获取 WebShell、SQL 注入获取核心系统权限;

2. 核心业务的严重逻辑设计缺陷和流程缺陷。包括但不限于任意账号登录和密码修改、任意账号资金消费、特大量订单详细泄露、核心支付系统支付交易流程的漏洞。

高危漏洞:

1. 直接获取一般系统权限(服务器端权限、客户端权限)的漏洞。包括但不限于:命令注入、远程命令执行、上传获取 WebShell、SQL 注入获取权限;

2. 核心系统越权访问操作。包括但不限于绕过认证直接访问管理后台可操作、业务非授权访问、 业务后台弱密码,增删查改任意用户敏感信息或状态等核心交互的越权行为;

3. 可远程获取客户端权限的漏洞。包括但不限于远程任意命令执行、可进内网有回显的SSRF。重要页面的存储型XSS(包括存储型DOM-XSS)以及可获取cookie等敏感信息且具有传播性的各种XSS。

中危漏洞:

1. 需受害者交互或其他前置条件才能获取用户身份信息的漏洞。包括但不限于包含用户、网站敏感数据的Jsonp劫持、重要业务操作(如支付类操作、发布信息或修改个人账号敏感信息类操作)的CSRF、一般业务存储型XSS等;

2. 普通的逻辑缺陷。包括但不限于一般业务系统的越权行为和设计缺陷,需要特殊用户身份的管理员垂直越权等;

3. 可攻击管理后台的XSS类攻击(需提供前台攻击位置,定位风险);撞库类问题能爆破出数据的、非重要站点的验证码爆破等。

低危漏洞:

1. 轻微信息泄露,包括但不限于路径、svn信息泄露、异常和含有少量敏感字段的调试信息,本地SQL注入、无回显的SSRF、日志打印及配置等泄露情况;

2. 难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、可引起传播和利用的Self-XSS、需构造部分参数且有一定影响的CSRF、非敏感功能的CSRF、子管理员的横向越权、有浏览器限制的反射XSS;

3. 利用场景有限的漏洞,包括但不限于短信、邮箱轰炸,URL跳转,非多点账户系统的可撞库接口等。

无危害/暂时忽略:

1. 无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的CSRF、无意义的异常信息泄漏、内网IP地址/域名泄漏、管理后台泄漏、CSRF登出或匿名用户CSRF问题、无敏感信息的SVN信息泄漏、只有固定版本的小众浏览器才能触发的xss、无敏感信息的Jsonp劫持、无敏感信息的CORS跨域配置错误等;

2. 不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题;

3. 不能重现的漏洞。包括但不限于经DMSRC审核者多次确认无法重现的漏洞;

4. 内部已知、跟其他白帽子重复的漏洞;

5. 非接收范围内的漏洞,如非多点业务的安全漏洞;

7. 不接收无实际意义的扫描器结果报告;

8. 暂不收取DMSRC平台本身的漏洞;

六、通用原则

1. 威胁报告禁止保存在互联网开放的云服务中(包括但不限于云盘、云笔记等),因漏洞报告内容保存于云服务导致的漏洞泄露风险一经确认,当前报告不计分;

2. 同一威胁报告(包括情报、通用组件和插件)最早提交者得贡献值,提交网上已公开的报告不计分;

3. 对于网上已公开的通用漏洞/威胁,因补丁下发及修复需要一定的时间,故在补丁下发30天内提交不计分;

4. 当多份威胁报告(安全漏洞、情报、通用组件和插件)有相似之处,DMSRC工作人员分析发现是由于同一处问题导致时,该情况只有最早提交者的贡献值;

5. 同一漏洞导致的多个利用点按照级别最高的奖励执行;(如:同个JS引起的多个XSS漏洞、同一个发布系统引起的多个页面的XSS漏洞、通用框架导致的整站问题等);

6. 各等级漏洞的最终贡献值由漏洞利用难度及影响范围等综合因素决定,若触发条件非常苛刻(如:特定浏览器才可触发的XSS 漏洞),经审核可能跨等级调整贡献值;

7. 报告者在进行渗透测试时,如在线上对业务做增删改操作时,请勿直接对正常用户数据做操作,数据添加请在标题或明显字段增加【我是测试】字样,以便于 DMSRC 和业务方识别数据真实性;

8. 以漏洞测试为借口,利用漏洞进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为在溯源发现后将不会计分,同时多点保留采取进一步法律行动的权利;

9. 多点所属公司员工不得参与漏洞奖励计划;

10. 请通过正常渠道与工作人员交流反馈问题,对于一些没有证据或使用非正当手段进行诬陷等行为,工作人员将适用法律手段维护权益。