拍拍贷安全应急响应中心(PPDSRC)

拍拍贷SRC与您一起共同打造健康安全的网络空间

提交漏洞

PPDSRC漏洞等级评定标准

拍拍贷SRC(PPDSRC)漏洞等级评级标准

高危

1、直接获取业务服务器权限的漏洞。包括但不限于任意命令执 行、上传webshell、任意代码执行、SQL注入获取系统权限、缓冲区溢出。

2、严重的敏感信息泄漏(除撞库行为或者通过暴力提交行为的部分信息)。包括但不仅限于核心 DB(资金、用户身份、订单) 的 SQL 注入,可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露。

3、严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。

4、敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息。

5、越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单操作、重要业务配置修改等较为重要的越权行为。

6、大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS和涉及交易、资金、密码。

7、公司内部重要数据泄露。


中危

1、需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS、重要敏感操作的 CSRF、SSRF。

2、普通越权操作。包括但不仅限于不正确的直接对象引用、越权查看订单信息、越权查看用户身份信息等。

3、普通信息泄漏。包括但不仅限于客户端明文存储密码、web路径遍历、系统路径遍历。

4、普通的逻辑设计缺陷和流程缺陷。

低危

1、移动客户端安全问题

2、轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN信息泄漏、异常信息泄露,以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息、异常信息等。

3、难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、需构造部分参数且有一定影响的CSRF、SSRF。

4、对他人造成短信轰炸影响。


备注:

以上三个级别问题不包括

1、不涉及安全问题的Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。

2、无法利用的漏洞。无敏感操作的 CSRF、SSRF、无意义的异常信息泄漏、内网IP地址/域名泄漏。

3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。


其他不在细分类型里的问题,根据实际危害及CVSS进行综合评价。CVSS风险评估模型参:https://www.vulbox.com/faq#leakMark


漏洞奖励方案

级别 奖励范围
高危 ¥3000-¥3800
中危 ¥1500-¥1800
低危 ¥50-¥100

漏洞评定通用原则:

1.弱口令问题:同一套系统多个用户弱口令问题只确认第一个,后续提交算重复漏洞;同一个用户弱口令可登陆不同系统,算同一漏洞,合并处理。

2.对于SQL注入漏洞,须注出其中一条数据证明危害。严禁拖库表。单纯报错无危害证明将会被忽略。

3.无特别声明情况下,前后关联漏洞合并处理,如先提交弱口令进入后台/内网漏洞,后提交进入后台/内网的SQL注入、越权漏洞。后提交的SQL、越权漏洞均合并处理,审核员会与厂商沟通是否允许继续深入测试该系统。如厂商许可,可正常测试,发现问题可单独提交。

4.同一个漏洞源产生的多个漏洞计漏洞数量为一,同一站点的同一功能模块下的越权点,合并为同一越权漏洞。

5.对于边缘/废弃业务系统,根据实际情况酌情降级,奖励金额乘以实际影响系数。

6.严重敏感身份信息定义:

至少包含3个敏感字段:姓名/身份证、银行卡信息、手机号/邮箱、密码、地址

对于不满足上述条件的信息,将视信息的敏感程度降级处理。

7.对于已获取系统权限(如webshell),禁止下载源代码审计。请事先联系审核员,审核员将会与厂商沟通相关事宜,如果厂商同意审计,再进行后续操作,发现漏洞可单独提交。否则,其行为将视为违规操作,一经发现行冻结账户。厂商视情况严重程度,保留追究法律责任的权利。

厂商保护机制

如果同一个系统中短时间发现了大量的同类型高危漏洞(如SQL注入、越权等),审核员判定该系统几乎没有做任何防护,会与厂商沟通该系统的该类型漏洞是否要继续收取;若厂商表示该类漏洞已知不再收取,则平台方正常审核前三个该类型漏洞,其他同类型漏洞均降级处理,并发布通知同系统同类型漏洞均不再收取,直到厂商修复后重新开放该漏洞类型收取。