漏洞泛域名

BILISRC漏洞处理和评分标准撰写哔哩哔哩安全应急响应中心文档版本1.
3更新日期2020-09-28联系邮箱security@bilibili.
com修订记录2017-07-10上线BILISRC安全应急响应中心白帽子协议2018-03-05修订、优化威胁情报处理流程2018-03-14拟订BILISRC漏洞处理和评分标准V1.
02019-02-20评分标准:舆情、威胁情报、远程Crash类更新2019-03-05增加严格禁止行为的相关要求和处置措施2019-04-16提升针对提交严重、高危安全漏洞的安全币奖励2020-09-28修正个别漏洞评分,重新定义安全情报评分标准适用范围该评分标准仅用于对哔哩哔哩产品和业务有影响的威胁情报和安全问题.
域名包括但不限于*.
bilibili.
com、*.
biligame.
com、*.
bilibiligame.
net、*.
acg.
tv、*.
hdslb.
net,服务器包括哔哩哔哩运营的服务器,哔哩哔哩办公网络,产品为哔哩哔哩发布的客户端产品.
注:对哔哩哔哩业务安全无实际影响的报告将不计分.
实施日期本标准自文档发布之日起执行.
致谢感谢oiram、bug2048、TSRC、2233(排名不分先后)为此报告流程所做出的贡献.
(一)威胁情报反馈与处理流程1.
报告阶段威胁情报报告者登录哔哩哔哩安全应急响应中心,提交反馈安全问题(状态:待审核)2.
处理阶段根据白帽子反馈的不同威胁等级,哔哩哔哩安全应急响应中心(以下简称BILISRC)工作人员会在一到三个工作日内,确认收到的威胁情报报告并跟进开始评估问题(状态:审核中),后续的一到三个工作日内,BILISRC工作人员处理问题、给出结论并给予安全币(状态:已确认/已忽略).
报告在BILISRC工作人员给出确认或忽略的结论后,白帽子可以在BILISRC前台对结论做出评判认可,若对处理结论存在较大争议可重新发起评估,提供更多细节后方便工作人员给出更好的评判结论.
3.
修复阶段业务部门修复威胁情报中反馈的安全问题并安排更新上线.
修复时间根据问题的严重程度及修复难度而定,一般来说,严重和高风险问题24小时内,中风险三个工作日内,低风险七个工作日内.
客户端安全问题受版本发布限制,修复时间根据实际情况确定.
(状态:已修复)4.
完成阶段BILISRC会根据威胁情报的危害等级为威胁情报报告者发出额外积分或礼品.
在得到威胁情报报告者许可的情况下,BILISRC会不定期挑选有代表意义的威胁情报进行分析,分析文章将发表在BILISRC官网.
(二)安全币的计算方法安全币约合人民币1:10汇率.
(三)漏洞相关评分标准根据漏洞的危害程度将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【无效】五个等级.
每个漏洞基础经验值最高为10,由BILISRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的经验值、安全币和漏洞定级,部分边缘业务的安全漏洞根据具体情况可能进行降级或忽略.
每种等级包含的评分标准及漏洞类型如下:【严重】经验值9~10/安全币500~10001.
直接获取核心系统权限的漏洞(服务器权限、PC客户端权限).
包括但不仅限于远程命令执行、任意代码执行、上传获取Webshell、SQL注入获取系统权限、缓冲区溢出.
2.
严重的敏感信息泄漏.
包括但不仅限于核心DB(资金、身份、交易相关)的SQL注入,可获取大量核心用户的身份信息、订单详细信息、银行卡详细信息等接口问题引起的核心敏感信息泄露.
3.
严重的逻辑设计缺陷和流程缺陷.
包括但不仅限于通过核心业务接口无限制任意账号资金消费、批量修改任意帐号密码漏洞、【高危】经验值6~8/安全币200~4001.
敏感信息泄漏.
包括但不仅限于非核心DBSQL注入、源代码压缩包泄漏、服务器应用加密可逆或明文、移动API访问摘要、硬编码等问题引起的敏感信息泄露.
2.
敏感信息越权访问.
包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息的SSRF.
3.
直接导致业务拒绝服务的漏洞.
包括但不仅限于直接导致移动网关业务API业务拒绝服务、网站应用拒绝服务等造成较高影响的远程拒绝服务漏洞.
4.
越权敏感操作.
包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改等较为重要的越权行为.
5.
大范围影响用户的其他漏洞.
包括但不仅限于可造成自动传播的重要页面的存储型XSS(包括存储型DOM-XSS)和涉及交易、资金、密码的CSRF.
6.
直接获取系统权限的漏洞.
包括但不仅限于远程命令执行、任意代码执行等.

【中危】经验值3~5/安全币30~1001.
需交互方可影响用户的漏洞.
包括但不仅限于一般页面的存储型XSS、包括但不仅限于一般页面的存储型XSS、敏感信息的JSONP劫持、重要操作CSRF.
2.
普通越权操作.
包括但不仅限于不正确的直接对象引用.
影响业务运行的Broadcast消息伪造等Android组件权限漏洞等.
3.
普通信息泄漏.
包括但不仅限于客户端明文存储密码、客户端密码明文传输以及web路径遍历、系统路径遍历.
4.
远程拒绝服务漏洞.
包括但不仅限于客户端远程拒绝服务(解析文件格式、网络协议产生的崩溃),由Android组件权限暴露、普通应用权限引起的问题等(默认配置情况下).
5.
普通的逻辑设计缺陷和流程缺陷.
【低危】经验值1~2/安全币10~201.
本地拒绝服务漏洞.
包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),由Android组件权限暴露、普通应用权限引起的问题等(默认配置情况下).
2.
轻微信息泄漏.
包括但不仅限于路径信息泄漏、SVN信息泄漏、PHPinfo、异常信息泄露,以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息、异常信息等.
3.
难以利用但存在安全隐患的漏洞.
包括但不仅限于难以利用的SQL注入点、可引起传播和能够利用的Self-XSS、URL跳转、反射型XSS漏洞.
【无效】经验值0/安全币01.
提交的报告书写过于简单,无法根据报告内容复现,包括但不限于和漏洞审核员反复沟通均无法复现的漏洞.
2.
不涉及安全问题的Bug.
包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性、弹幕无法显示等问题.
3.
无法利用的"漏洞".
包括但不限于没有实际意义的扫描器漏洞报告(如WebServer的低版本)、Self-XSS、无敏感信息的JSONHijacking、无敏感操作的CSRF(如添加购物车、非重要业务的订阅、非重要业务的普通个人资料修改等)、无意义的源码泄漏、内网IP地址/域名泄漏、401基础认证钓鱼、程序路径信任问题、无敏感信息的logcat信息泄漏.
4.
无任何证据的猜测:包括但不仅限于纯属用户猜测的问题.
5.
内部已知漏洞,包括但不限于已在网络上公开的漏洞、内部安全人员已经发现的漏洞、已有其他白帽子优先提交的漏洞.
边缘业务范围依据公司发展情况不定期调整,主要包括但不限于:1.
测试环境的业务2.
哔哩哔哩相关公众号3.
与哔哩哔哩合作的产品和业务,如猫耳、客服系统、我的世界中文论坛等(四)安全情报评分标准威胁情报是指哔哩哔哩的产品和业务漏洞相关的情报,包括但不限于漏洞线索、攻击线索、攻击者相关信息、攻击方式、攻击技术等(由于威胁情报分析调查的时间较长,因此确认周期相比漏洞的时长较长).
1、安全情报评分规则情报的综合评分(即情报经验值)由情报对应的威胁等级和情报完整度决定:情报评分对应表:严重高危中危低危高完整度9~107~84~52中完整度6~84~62~31低完整度53112、威胁等级说明【严重】本等级包括:对核心业务、系统、办公网络造成重大影响,或对哔哩哔哩公司造成大量资金损失的威胁情报.
如主站某服务器被上传webshell.
【高危】本等级包括:对核心业务、系统、办公网络造成较大影响,或对哔哩哔哩公司造成较大资金损失的威胁情报.
如利用其他站点泄露的他人账号密码在哔哩哔哩成功登录窃取大量账号.
【中危】本等级包括:对核心业务、系统、办公网络造成一定影响,或对哔哩哔哩公司造成一定资金损失的威胁情报.
如因业务规则问题导致被一定量恶意用户利用的刷量行为.

【低危】本等级包括:对业务、系统、办公网络造成轻微影响的威胁情报.
如伪冒哔哩哔哩的钓鱼网站,盗版APP等.
3、情报收取范围1)安全情报1.
提供野外被利用的未知漏洞相关线索2.
服务器或办公网被入侵且提供了入侵行为方式等相关线索3.
重要业务数据库被拖取且提供了数据库名或数据库文件等相关线索4.
支付业务逻辑漏洞利用、业务流程绕过等关键线索5.
蠕虫传播且提供了蠕虫传播的链接等相关线索6.
用户身份信息大规模被窃取且提供了攻击代码等相关线索7.
能通过技术手段或其他手段影响排序机制的工具、方法等,需要有相关例子作为证明8.
能够帮助完善防御系统,新型攻击方式、技术等提供详细分析2)业务情报1.
提供哔哩哔哩产品批量恶意账号注册、有组织的进行薅羊毛等行为的关键线索2.
提供泄露哔哩哔哩内部信息、用户数据等行为的关键线索,网盘、GitHub等第三方分享或泄露哔哩哔哩相关敏感文件、重要数据等3.
提供哔哩哔哩产品刷量行为的关键线索,如:关注、分享、点赞、评论、阅读量、播放量等4.
提供哔哩哔哩直播类作弊行为的关键线索,如:刷人气、抢红包等5.
提供哔哩哔哩支付类作弊行为的关键线索,如:苹果IOS代退款6.
提供哔哩哔哩游戏类作弊行为的关键线索,如:游戏外挂、练号打金3)无效情报无效情报是指错误、无意义或根据现有信息无法调查利用的威胁情报,例如:1.
上报虚假捏造或人为制造情报信息的2.
上报通过社工等手段诱导客服进行相关操作的3.
上报可能刷量、引流的QQ群号,且未提供其他有效信息的4.
上报已发现或失效情报的5.
上报情报中未包含攻击路径和攻击方法说明或表述不清,逻辑不通4、情报完整度提交威胁情报时,应包含所提交情报场景所对应的关键线索,以便审核人员验证、追踪.
情报报告中的各项线索得分累计,作为情报的的完整性评分.
完整性评分越高,情报的完整度越高.
情报中应当包含的线索以及各项线索的权重如下表说明:威胁来源(1~2分)情报涉及到的威胁人员,能够帮助SRC对事件溯源分析、事件扩散面分析,帮助定位到入侵者个体或组织的信息;攻击路径(1~2分)(必须提供项)实施攻击的个人或组织所攻击的具体页面或接口,简述主要造成何种风险,如:数据泄露、漏洞、刷关注、刷单等;攻击方法(1~4分)(必须提供项)情报所涉及的问题是如何被利用的,包括相应的流程、技术手段、工具等.

如果能提供详细的技术分析,可酌情加分,最多可以追加10分,视分析难度、分析结果完整性决定;发生时间(1分)攻击发生所在的时间,如从XX时间开始,到XX时间结束;针对作弊工具,可以描述该作弊工具最早出现的时间;损失预估(1分)情报所提及的事件有多大规模,比如:预估有多少人参与了某次作弊;情报所涉及的攻击已造成的损失,比如:刷了XX个赞、注册了XX个账号,薅取了多少金额等;针对作弊工具,可以描述该工具在黑灰产中的使用范围,比如预计有多少黑灰产在使用;情报完整度对应表:情报完整度完整性评分高完整度>6分中完整度3~6分低完整度2分注意:攻击路径、攻击方法是必要线索,提交情报时如未包含其中任何一项,平台将不予审核.
故情报完整性得分最低为2分.
(五)评分标准通用原则1.
对于非哔哩哔哩直接发布的产品和业务或是第三方应用威胁情报均不计分2.
通用型漏洞(如discuz等的漏洞以及由同一个漏洞源产生的多个漏洞)一般计漏洞数量为一个.
例如discuz的XSS漏洞、同一个JS引起的多个XSS漏洞、同一个发布系统引起的多个页面的XSS漏洞、框架导致的整站XSS/CSRF漏洞、泛域名解析产生的多个XSS漏洞、同一域名下同一组件产生的多个flashxss漏洞等等3.
对于第三方库(比如libpng、zlib、libjpeg等等)导致的客户端漏洞(包括PC和移动端),且可以通过升级或者更换第三方库可完成修复的漏洞,仅给首个漏洞报告者计分.
同时,从获取首个漏洞的反馈时间到第三方首个修复版本发布时间的日期内,对于同一类漏洞均按一个漏洞计分,危害等级取危害最大的一个漏洞来评定4.
由于客户端漏洞审核本身比较复杂并且涉及到其它的开发部门,审核时间可能较WEB漏洞长,有时可能由于报告者提供的漏洞细节不够详尽,导致BILISRC无法按原定时间内给出结论,请理解.
因此请各位白帽子在反馈漏洞时提供poc/exploit,并给出相应的漏洞分析细节,以加快管理员处理速度,对于poc或exploit未提供或者没有详细分析的漏洞提交将可能直接影响最终评分5.
同一条威胁情报,第一个报告者得分,其他报告者不得分6.
提交网上已公开的威胁情报不计分7.
非核心业务的情报等级将结合情报影响程度作降级判定8.
拒绝无实际危害证明的扫描器结果,具体参见《哔哩哔哩安全应急响应中心白帽子协议》(六)严格禁止行为1.
以安全测试为借口,利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、恶意宣扬炒作、盗取用户数据等行为的均将不会计分2.
禁止利用安全缺陷/问题/威胁情报获取大量敏感数据(包括但不限于):a.
账号类数据:获取50条以上账号信息或者用户私人信息b.
订单类数据:获取50条以上包含公民信息的敏感字段c.
数据库数据:获取50条以上数据库表字段内容3.
禁止在测试过程中影响业务正常运行(包括但不限于):a.
执行操作可直接影响主机/网站文件,例如rmmv篡改sshauthorized_keys等b.
直接写入大量脏数据影响业务正常用户使用的c.
直接在主机/网站中植入恶意后门、木马、挖矿、DDoS等文件的4.
禁止保存、分享通过安全缺陷/问题/威胁情报获取到的数据信息(包括但不限于):a.
禁止Fork、下载留存、分享GIT等途径泄露的信息文件(需在验证敏感性完成后及时进行删除操作)b.
禁止未经BILISRC官方允许,擅自对外公布所发现的安全缺陷/问题/威胁情报细节、展示其中包含的敏感数据内容5.
发现在测试中存在以上严格禁止行为的相关处置方法:a.
第一次,涉及的安全缺陷/问题/威胁情报将不计分b.
第二次,除不计分外涉及的白帽子账号(积分冻结)三个月c.
第三次,除不计分外涉及的白帽子账号(积分冻结)六个月d.
超过三次,除不计分外涉及的白帽子账号积分做归零处置6.
特别注意:对于恶意利用安全缺陷/问题/威胁情报,窃取敏感数据、影响业务正常运行等违规操作,除上述第五点处置外,哔哩哔哩安全将依照法律法规,对此类行为进行惩处(七)问题与解答Q:什么时候发送兑换的礼物为方便诸位大佬能够及时和满意的兑换到BILISRC的礼物和奖品,现礼物兑换时间为「每月的15号之后~次月的10号之前」,统一固定发货日为:每月15号,如遇到节假日酌情提前或顺延到工作日.
Q:BILISRC与其他安全团体的关系是如何的哔哩哔哩安全离不开业界的支持与帮助,哔哩哔哩安全应急响应中心愿意与各个安全团体深度合作,共同推动安全行业的健康发展.
目前BILISRC已经与一些安全厂商展开了合作,未来将会有更多合作.
Q:哔哩哔哩威胁情报奖励计划是不是用奖品隐瞒安全问题不是.
首先,我们认为,在威胁情报中的安全问题未修复前,为了保护用户群体的利益,威胁情报不应该被提前公开,这也是业界的通用做法.
其次,哔哩哔哩为威胁情报报告者提供礼品等奖励是为了表达对报告者的感谢和尊重,绝对不是用奖品隐瞒威胁情报中的安全问题.

Q:哔哩哔哩会不会先『忽略』漏洞然后偷偷修复绝对不会.
提交的报告一旦进入『忽略』状态,跟进同事会回复忽略的原因.
常见情况是这个『漏洞』不认为是漏洞而被评估为一个bug,BILISRC仅知会相关产品同事,是否更改这个『bug』将由产品同事决定;另外一种情况是业务本身的变动,导致问题不复存在.
但是不论如何,哔哩哔哩方面都不会偷偷修复漏洞.
Q:如果对报告存在争议怎么办在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过漏洞详情页面的留言板、前台评判功能或者通过联系security@bilibili.
com邮箱进行沟通.
我们将按照漏洞报告者利益优先的原则处理,必要时可引入外部安全人士共同裁定.