提交漏洞

一、漏洞反馈和处理流程

1、预报告阶段。
漏洞报告者通过反馈邮箱(sec@gutou.com)提交漏洞。
2、处理阶段。
三个工作日内, 工作人员处理问题,并回复反馈邮件。必要时会与报告者沟通确认,请报告者予以协助。
3、修复阶段。
业务部门修复漏洞并安排更新上线。修复时间根据问题的严重程度及修复难度而定。严重和高风险漏洞 24 小时内,中风险三个工作日内,低风险七个工作日内。客户端漏洞受版本发布限制,修复时间根据实际情况确定。
4、奖励发放阶段。
在ESRC验证漏洞之后,邮件回复漏洞报告者奖金发放时间及发放方式。

二、漏洞收集原则

1、ESRC收集漏洞范围:易宠名下所有产品及业务,如E宠商城主站、小程序、公众号等,域名包括但不限于*.epet.com,*.epetbar.com。
2、每个漏洞由ESRC根据漏洞利用难易程度、危害大小及影响范围综合考虑决定分为5个等级:无影响、低危、中危 、高危 、严重 。详细评分标准参考下文漏洞风险等级。
3、相同问题的漏洞,将按提交时间给予首个提交者奖金。
4、漏洞提交报告应尽量详细、规范,并提供详细的漏洞详情、漏洞原理、利用方式以及修复建议。漏洞需证明其存在并可利用,对于poc或exploit未提供或者没有详细分析的漏洞提交将直接影响该漏洞的评定。
5、ESRC漏洞奖励计划仅限于首次在ESRC提交的漏洞,在其它平台上提交过,同一漏洞非首次提交,均不予审核通过。提交网上已经公开的漏洞不予奖励。
6、漏洞需证明其存在并可利用,但禁止利用漏洞进行非法操作,包括但不限于:拖库、进入内网等,情节严重者将移交公安机关处理。
7、由于客户端的特殊性,提交漏洞以当前时间最新客户端版本为准(同一漏洞不可在不同版间重复提交),只接收属于易宠移动客户端产品的漏洞,不接收Android/IOS系统自身漏洞。
8、如果同一漏洞或同一问题漏洞的不同表现形式在漏洞修复前由多位漏洞报告者提交,在进行奖励时,我们会以最先提交并清晰表述、重现此漏洞问题的研究者为唯一受奖励者。
9、易宠坚决抵制利用漏洞进行损害用户和易宠利益、影响业务正常运作、盗取用户数据等恶意行为,一经发现将进行严肃处理,同时易宠保留采取进一步法律行动的权利。
10、奖励机制只限于易宠相关业务,合作方、供应商等第三方公司系统不在此奖励范围内。
11、禁止进行可能引起业务异常运行的测试,禁止使用扫描器或者其他自动化工具,禁止网络拒绝服务测试。
12、注入漏洞严禁读取表内数据,对于UPDATE、DELETE、INSERT等注入类型,不允许使用自动化工具进行测试,对于可能改变表数据的,需提前报备。
13、越权漏洞严禁进行批量读取。
14、禁止进行内网渗透测试行为。
15、禁止下载、保存和传播和业务相关的敏感数据。

三、漏洞风险等级

ESRC根据漏洞的危害程度将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【无影响】五个等级。
每个等级由ESRC结合利用场景中漏洞的危害程度、业务的重要程度、利用难度等综合因素给予定级。各等级包含的评分标准及漏洞类型明细如下:

1、严重漏洞
严重漏洞等级包括:
1、 直接获取核心业务和一般业务系统操作系统权限(服务端权限、客户端权限)的漏洞:包括但不限于任意代码执行、任意命令执行、上传Webshell并可执行、缓冲区溢出、SQL注入获取系统权限等;
2、 严重的敏感信息泄露漏洞:包括但不限于可导致大量用户敏感信息或者公司内部核心数据泄露漏洞(至少包含3类字段:姓名/身份证信息、银行卡信息、手机号/邮箱、密码、详细地址等)、可获取重要数据的SQL注入漏洞、任意文件读取和下载漏洞(如包含重要服务口令)等;
3、 严重的逻辑漏洞:包括但不限于涉及订单、支付方面的安全问题,如批量修改任意核心系统帐号密码、任意金额支付、任意账号资金消费等支付交易方面等严重问题;
4、 可直接导致核心系统瘫痪的拒绝服务攻击漏洞。

2、高危漏洞
高危漏洞等级包括:
1、直接获取边缘业务系统权限的漏洞:包括但不限于任意命令执行、上传WebShell、任意代码执行等;
2、高风险的信息泄露漏洞:包括但不限于可直接利用的敏感数据泄漏、可导致站点大量用户身份信息泄露或直接对业务造成高风险的信息泄露、核心功能的源代码泄露、密钥或未鉴权的API泄露、服务器敏感信息日志文件下载等;
3、高风险的业务逻辑缺陷:包括但不限于不涉及订单、支付方面的安全问题,如任意密码重置,任意账号登陆等;
4、影响范围较广的越权访问漏洞:包括但不仅限于绕过认证直接访问管理后台可操作,应用非授权访问、应用后台弱密码、访问其他用户敏感信息(包括用户资料信息和订单信息)、针对非当前登录用户的越权操作、任意文件包含、任意文件读取、可直接获取大量内网敏感信息的 SSRF等;
5、可导致边缘系统业务拒绝服务的漏洞。

3、中危漏洞
中危漏洞等级包括:
1、需交互才能获取用户身份信息的漏洞:包括但不限于存储型 XSS、反射型 XSS、DOMXSS、重要敏感操作的CSRF;
2、普通信息泄漏漏洞:包括但不限于客户端明文存储密码、密码明文传输、个别用户订单或身份信息泄露等;
3、普通逻辑设计缺陷:包括但不仅限于弱验证机制引发的漏洞、短信验证码绕过、邮件验证绕过、越权修改id、越权修改评论、越权修改订单号等不涉及资金、订单和用户敏感信息的普通逻辑设计缺陷和业务流程缺陷;
4、可导致资源滥用或造成对用户骚扰的漏洞,包括但不限于:短信炸弹、邮件炸弹等;
5、远程应用拒绝服务漏洞、内核拒绝服务漏洞、可获取敏感信息或者执行敏感操作的客户端产品的XSS漏洞。

4、低危漏洞
低危漏洞等级包括:
1、只在特定浏览器或客户端环境下才能执行,且影响较小的漏洞,包括但不限于反射型XSS、非关键业务的存储型 XSS 等;
2、难以利用但存在安全隐患的漏洞:包括但不仅限于难以利用的SQL注入点、可能引起传播的self-xss、不能引起较大危害的存储型XSS(包括仅自己可见的存储型XSS)、反射型XSS(包括反射型DOM-XSS,Flash型XSS)等;
3、低敏感度信息泄漏,包括但不限于路径泄漏、非核心代码文件泄漏,phpinfo等;
4、其他只能造成轻微影响的漏洞:包括但不仅限于URL跳转、系统/服务运维配置不当、组件权限漏洞等;
5、根据设备、系统、软件或框架的官方告警正在修复的漏洞。

5、无影响
本等级包括:
1、无关安全的bug,包括但不限于网页乱码、网页无法打开、某功能无法用;
2、利用条件异常苛刻或无法利用的漏洞。包括但不仅限于没有实际意义的扫描器漏洞报告、无敏感信息的JSON Hijacking、Self-XSS、复杂交互的URL重定向、无敏感操作的 CSRF(如收藏、添加购物车、非重要业务的订阅、非重要业务的普通个人资料修改等)、无意义的异常报错信息泄漏、内网 IP 地址/域名泄漏、无敏感信息的越权访问、慢速DDOS攻击、手机/邮箱横向轰炸、401基础认证钓鱼、偶然性的短信验证码猜解、个别客户账号弱密码等。
3、无法提供完整漏洞证明存在的问题。包括但不仅限于纯属用户猜测、无法重现、未经验证、无意义的扫描报告的问题;
4、非易宠集团业务漏洞、内部已知、正在处理的漏洞、已经有人提交过的重复漏洞。

四、业务等级

以业务相关性为依据,将此系数划分为三个等级:核心业务、一般业务、边缘业务
1、“核心”业务包括:涉及易宠主营业务商城的账户、支付、订单详细信息的相关平台或网站的重要业务功能, 如:E宠商城官网、 E宠商城APP、E宠商城小程序等;
2、“一般”业务包括:易宠主营业务商城的边缘业务、涉及运营数据、信息统计、公司管理等为公司主营业务提供支撑的系统;
3、“边缘”业务包括:业务相关且非易宠直接运营的网站/平台;

五、奖励计算方法

奖励单位:人民币元。
严重漏洞 高危漏洞 中危漏洞 低危漏洞
核心业务 1000 600 400 200
一般业务 400 240 160 80
边缘业务 100 60 40 20


六、争议解决办法

在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过以下方式联系ESRC工作人员进行及时有效的沟通:邮箱 sec@gutou.com, ESRC将按照漏洞报告者利益优先的原则处理,必要时将会引入外部安全人士共同裁定。