2018年摩拜安全响应中心漏洞奖励标准V2.0

发布日期:2018/07/19

一.  基本原则

1.      摩拜对自身产品和业务的安全问题非常重视,也一直致力于保障用户安全,我们希望通过摩拜安全响应中心加强与安全业界同仁的密切合作,来提升摩拜的整体安全水平。

2.      对于保护用户利益、帮助摩拜提升安全的白帽子,我们给予感谢和回馈。每一位报告者反馈的问题都有专人进行跟进、分析和处理,并及时给予答复。同时,在没有收到我司明确书面授权的情况下,请不要公开披露或提供关于摩拜产品或安全漏洞的任何细节信息。

3.       摩拜反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户资料、入侵业务系统、修改、窃取相关系统资料、恶意传播漏洞或数据。

4.   请不要在任何情况下泄露漏洞测试过程中发现获知的任何数据。

5.   如您在测试过程中发现以下信息,请立即停止测试并及时通知我们:a) 个人识别信息,b) 金融信息(信用信息或银行账号密码等信息),c) 企业财产信息或商业机密。

6.     摩拜认为每个安全漏洞的处理与整个安全行业的进步,都离不开各方的共同合作。希望企业、安全公司、安全组织、安全研究者一起加入到"合作式的漏洞披露和处理"过程中来,一起为建设安全健康的互联网而努力。

 

二.  漏洞反馈和处理流程

 111.png

三. 安全漏洞评分标准

     根据漏洞危害程度分为严重、高危、中危、低危、忽略五个等级,每个漏洞所得奖励由漏洞对应用的危害程度以及应用的重要程度、利用难度、影响范围等综合因素决定。每个等级涵盖的漏洞以及评分标准如下:

  v2.jpeg

     测试范围:

    - *.mobike.com
    -开放平台即三方对接平台


【严重】

本等级包括:

1.       直接获取系统权限(服务器端权限、客户端权限)的漏洞,包括但不仅限于:命令注入、远程命令执行、上传获取 WebShellSQL 注入获取系统权限、缓冲区溢出。

2.        直接导致拒绝服务的漏洞,包括但不仅限于远程拒绝服务漏洞。

3.       严重的逻辑设计缺陷,包括但不仅限于任意账号登陆、任意账号密码修改、任意账号资金消费、订单遍历、交易支付方面的严重问题。

4.       严重级别的信息泄漏,包括但不仅限于核心 DB(资金、用户身份、订单) 的 SQL 注入,可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露。

 

【高危】

本等级包括:

1.       越权访问,包括但不仅限于绕过认证直接访问管理后台可操作、核心业务非授权访问、核心业务后台弱口令等。

2.       能直接盗取关键业务用户身份信息的漏洞,重点页面的存储型 XSS 漏洞,普通站点的 SQL 注入漏洞等。

3.       高风险的信息泄漏漏洞,包括但不限于源代码压缩包泄漏。

4.       访问任意系统文件的漏洞,包括但不限于任意文件包含、任意文件读取。

  

【中危】

本等级包括:

1.       普通信息泄露,包括但不仅限于普通用户信息泄露。

2.       普通越权操作,包括但不仅限于越权查看非核心系统的订单信息、记录等。

3.       需交互才能获取用户身份信息的漏洞,包括但不限于普通业务的存储型XSS

 

【低危】

本等级包括:

1.       轻微信息泄露,包括但不仅限于反射型XSS(包括反射型 DOM-XSS)JSONHijackingCSRF(修改其他用户的敏感信息)、路径信息泄露、svn 信息泄露、phpinfo、目录遍历。

2.       难以利用但存在安全隐患的漏洞,包括但不仅限于 IIS 短文件名/目录枚举。

3.       普通的逻辑设计缺陷和流程缺陷,包括但不仅限于无验证码或验证码无效。

4.       URL 重定向,包括但不仅限于诱导性的 URL 跳转。

 

【忽略】

本等级包括:

1.       不涉及安全问题的 bug,包括但不仅限于产品功能缺陷、页面乱码、样式混乱。

2.       无法利用的漏洞,包括但不仅限于 Self-XSS

3.       不能重现的漏洞,包括但不仅限于经摩拜安全响应中心专员确认无法重现的漏洞。

4.       纯属用户猜测的问题。

 

四.  评分标准通用原则

 

【适用范围】

  评分标准仅适用于摩拜产品、服务和其他业务。与摩拜业务完全无关的漏洞,不予审核通过。

 

【通用型漏洞】

      1.服务端:包括但不限于摩拜正在使用的 WordPressphpcmsdiscuz插件产生的漏洞,Apache 等服务端相关组件、OpenSSL、第三方 SDK 等产生的漏洞等。提交的漏洞公开时间在一个月内,摩拜如已从其他渠道获知,则不与审核通过;如漏洞公开时间超过一个月且存在仍未发现的漏洞,则给第一个提交者奖励,等级一般不高于中危。

      2.客户端:包括但不限于 android 原生漏洞,app 通用漏洞等。提交的漏洞公开时间在三个月内,摩拜如已从其他渠道获知,则不与审核通过;如摩拜公司仍不知情,或者漏洞公开时间超过三个月,摩拜仍存在未修复的漏洞,则给第一个提交者奖励,等级一般不高于中危。

 

【其它细则】

1.       漏洞奖励仅限于首次向摩拜SRC反馈的漏洞,在其它平台上提交过的,同一漏洞非首次提交的,均不予审核通过。

2.       同一个漏洞源产生的多个漏洞只给第一个提交者奖励,且漏洞数量记为一个。

3.       对于同一个链接 url,如果多个参数存在多个类似的漏洞,视情况进行合并,同一链接不同类型漏洞,按危害程度最大的给出奖励。

4.       提交漏洞报告时请提供完整的漏洞发现方式,满足此条件的漏洞报告在漏洞审核中会酌情加分;对于 poc  exploit 未提供或者没有详细分析的漏洞提交将直接影响该漏洞的评定。

5.       各漏洞的最终审核情况由漏洞利用难易程度、危害大小及影响范围综合考虑决定。

6.       拒绝无实际危害证明的扫描器结果。

7.       安全币是摩拜安全响应中心采用的积分计量单位,可用于礼品兑换。目前,摩拜安全响应中心1安全币=5人民币。京东卡的最低兑换面值是500元。


【禁止以下行为】

1.       禁止以暴力枚举的方式重复对同一站点进行账号密码的猜解。如发现有未添加有效验证码可被暴力破解的站点漏洞,无论是否枚举猜解出账号密码,且此类漏洞只会按照无有效验证码进行确认,根据域名权重,最高按中危处理。

2.       漏洞只需证明其存在并可利用即可,禁止利用漏洞进行非法操作,包括但不限于:拖库、进入内网,情节严重者将取消该用户所有安全币且将追究法律责任。

3.       禁止以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,将不会审核通过,同时摩拜保留采取进一步法律行动的权利。

 

五.  奖励发放原则

     自《摩拜安全中心漏洞奖励标准 V2.0》上线之日起,摩拜安全中心将采用此标准向漏洞报告者发放奖励。

 

六. 争议解决办法

      在漏洞处理过程中,如果对处理流程、漏洞评定、漏洞评分等有异议的,请通过邮件:security@mobike.com 并以邮件标题【摩拜漏洞处理异议】进行反馈,我们会优先处理此类反馈。我们将按照漏洞报告者利益优先的原则处理,必要时可引入外部安全人士共同裁定。

目前,摩拜安全响应中心处于不断发展之中,可能还存在着很多需要改进和完善的地方,敬请谅解。如果您有更好的意见和想法,可以通过邮件security@mobike.com与我们沟通、交流。



返回列表