途牛安全应急响应中心漏洞评分标准和处理流程更新公告
发布时间:2018-02-28 09:51:16
          

    非常感谢业界安全专家对途牛安全的大力支持,在计划实施过程中,我们发现存在一些问题,为了更好的回馈漏洞报告者,途牛安全应急响应中心特别对流程进行了调研并对“漏洞评分标准和处理流程”进行了更新。自新标准实施日起,之前版本的文档立即失效。

    感谢大家对途牛安全的支持。如有任何的疑问,请联系我们sec@tuniu.com


    途牛安全响应中心漏洞处理规范流程

    一、 基本原则

    1.途牛关注用户的安全体验,我们承诺每一个白帽子反馈的安全漏洞我们都将安排专人进 行跟进,分析,并反馈最新的处理进展。

    2.途牛对于每位恪守白帽子精神,积极维护用户以及途牛产品安全的白帽子们,我们将给予感谢与反馈。

    3.途牛反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏,损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户隐私,虚拟财产以及入侵系统、篡改敏感数据。在不影响被测试系统正常运行,不危害系统,不危害平台用户隐私、数据安全的情况下,以测试和评估系统安全性为目的测试漏洞行为属于正常安全测试需要。

    4.途牛希望加强与业界合作,通过 “合作式漏洞披露与处理”集结业界安全专家、安全组织机构共同维护互联网安全。

    二、安全漏洞处理流程

    【漏洞提交】

    白帽子登录途牛安全应急响应中心提交报告,提交成功后显示状态“未处理”。

    【漏洞审核阶段】

    途牛安全应急响应中心会在工作日当天或隔天专员审核。不属于安全漏洞的报告状态变更为“未通过”;已经确认的漏洞变更状态为“待修复”,同时我们会按照安全漏洞评分标准给予白帽子相应贡献值和安全币。

    【漏洞处理阶段】

    漏洞修复需要一定时间,有新的进展我们会第一时间反馈给提交者。

    【用户复查阶段】

    漏洞修复完成后安全工作人员会先进行内部复查,复查通过后项目上线,联系白帽子进行复查,如复查不通过,漏洞需重新评定修复方案进行修复。

    【漏洞修复完成】

    经过安全工作人员和白帽子的复查,项目修复完成。漏洞变更状态为“已修复”。

    三、 业务系数、贡献值、安全币算法

    1、业务分类及其业务系数

    【核心业务】【业务系数 10】业务中涉及会员、订单、资金、交易、品牌等的核心业务;

    【一般业务】【业务系数 4】: 业务中不涉及会员、订单、资金、交易、品牌等的一般业务;

    【边缘业务】【业务系数 1】: 业务中不涉及途牛主要业务的边缘业务;

    2、贡献值

    贡献值由漏洞对应用的危害程度以及应用的重要程度决定:贡献值=基础贡献值X应用系数。贡献值将用于荣誉奖励颁发。

    表3-1 贡献值对应表

漏洞类型

业务系数

严重漏洞

高危漏洞

中危漏洞

低危漏洞

核心业务(10)

250-400

160-240

30-150

8-16

一般业务(4)

100-160

64-96

12-60

4-8

边缘业务(1)

25-40

16-24

3-15

1-2

3、安全币

安全币由漏洞对应用的危害程度以及应用的重要程度决定:安全币=基础安全币X应用系数。安全币将用于礼品奖励兑换。

表3-2 安全币对应表

漏洞类型

业务系数

严重漏洞

高危漏洞

中危漏洞

低危漏洞

核心业务(10)

250-400

160-240

30-150

8-16

一般业务(4)

100-160

64-96

12-60

4-8

边缘业务(1)

25-40

16-24

3-15

1-2

四、漏洞等级

根据漏洞的危害程度将漏洞等级分为【严重】、【高】、【中】、【低】、【无】五个等级。 由TNSRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的贡献值和漏洞定级,每种等级包含的评分标准及漏洞类型如下:

3.1. 严重

1)直接获取系统权限(服务器端权限、客户端权限)的漏洞,包括但不限于核心业务操 作系统、核心业务数据库、远程命令执行、上传并执行 webshell、缓冲区溢出等;

2)严重级别的敏感信息泄露。包括但不限于公司内部核心数据泄露、核心源代码泄漏、可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露等;

3)严重级别的逻辑设计缺陷。包括但不限于任意账号登陆、任意账号密码修改、任意账号资金消费等;

4)直接导致拒绝服务的漏洞。包括通过该远程拒绝服务漏洞直接导致线上应用系统、 网络设备、服务器无法继续提供服务的漏洞。

3.2. 高危

1)能直接盗取主站等关键业务等用户身份信息漏洞,包括但不限于可造成存储型 XSS蠕虫,非核心的 SQL 注入漏洞等;

2)高风险信息泄露漏洞。包括但不限于重要系统任意文件操作漏洞、源代码压缩包泄露、配置信息泄露及公司内部重要信息泄露;

3)高风险的逻辑设计缺陷。包括但不限于查看任意用户敏感信息、修改用户敏感信息、订单及支付系统业务逻辑绕过等

4)敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息的SSRF。

5)越权敏感操作,包括但不限于账号越权进行订单普通操作,查看敏感信息等较为重要的越权行为。

6)可获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出以及逻辑问题导致的客户端漏洞。

3.3. 中危

1) 普通的信息泄漏,包括但不限于客户端明文存储密码,利用难度高的但不涉及重要业务的 sql 注入等;

2) 需交互才能获取用户身份信息的漏洞重要操作的 CSRF、普通业务的存储型 XSS 等;

3) 普通的越权操作以及设计缺陷和流程缺陷,包括但不仅限于不正确的直接对象引用,身份数据篡改等;

3.4. 低危

1) 轻微的信息泄露,包括但不限于路径、phpinfo、svn、异常信息泄露等;

2) URL 跳转漏洞;

3) 不涉及资金、订单和用户敏感信息的逻辑设计缺陷和业务流程缺陷;

4) 只在特定浏览器或客户端环境下才能执行,且影响较小的漏洞,包括但不限于反射型 XSS,非关键业务的存储型XSS 等;

3.5. 无危害

1)不涉及安全问题的bug。包括但不限于产品功能缺陷,页面乱码,样式乱码等;

2)无法利用的漏洞。包括但不限于self-xss,无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。;

3)不能重现的漏洞。包括但不限于途牛安全应急响应中心安全专员无法重现的漏洞;

4)不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。

5)非途牛旅游网业务漏洞;

五、评分标准通用原则

1、评分标准仅适用于途牛旅游科技有限公司的产品和业务。与途牛旅游科技有限公司完全无关的漏洞,不计贡献值。

2、对于非途牛旅游科技有限公司自身发布的产品和业务,如合作区业务,贡献值不超过5,等级不高于【中】,且不保证能按照预定时间处理;

3、第三方产品的漏洞只给第一个提交者计贡献值,最高不超过5贡献值,等级不高于【中】,且不保证修复时长,包括但不限于途牛旅游科技有限公司正在使用的Apache等服务端相关组件、OpenSSL、第三方SDK等;不同版本的同一处漏洞视为相同漏洞。

4、同一个漏洞源导致的多个利用点按照级别最高的奖励执行。例如同一个 JS 引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个安全漏洞等。

5、各等级漏洞的最终贡献值数量由漏洞利用难度及影响范围等综合因素决定,若漏洞触发条件非常苛刻,包括但不限于特定浏览器才可触发的XSS漏洞,则可跨等级调整贡献值数量。

6、同一漏洞,首位报告者计贡献值,其他报告者均不计分。

7、在漏洞未修复之前,被公开的漏洞不计分。

8、报告网上已公开的漏洞不计贡献值。

9、同一份报告中提交多个漏洞,只按危害级别最高的漏洞计贡献值。

10、以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,将不会计贡献值,同时途牛旅游科技有限公司保留采取进一步法律行动的权利。

六、奖励发放原则

奖品使用积分进行兑换,多个漏洞产生的积分可累加,除非特别声明,未使用的积分不会 过期。如因报告者未能完善资料导致的延误,将顺延下批次进行寄出;如因报告者过失, 快递等问题及人力不可抗因素产生的奖品丢失或者损坏,TNSRC不承担责任。

七、争议解决办法

在漏洞处理过程中,如果报告者对处理流程、漏洞评定、漏洞评分有争议的,请通过邮件 sec.tuniu.com 并以邮件标题【途牛漏洞处理异议】进行反馈,我们会有专门工作人员负责优先处理此类反馈。

最终解释权归途牛安全应急响应中心所有

途牛安全应急响应中心

Tuniu Security Response Center