字节跳动安全中心(https://security.bytedance.com/)

字节跳动安全中心安全报告处置规则V7.
1版本号修订内容发布日期V7.
1等级判断标准、业务等级说明2020.
1.
13V7.
0评分细则、业务等级、情报收取范围等2019.
12.
24V6.
1更新中危、低危漏洞的定义2018.
6.
20V6.
0网站正式版本2018.
6.
01字节跳动安全中心(https://security.
bytedance.
com/)第一章基本原则1、字节跳动非常重视产品及业务的安全问题,字节跳动安全中心(ByteDanceSecurityCenter)作为连接平台,期待白帽子、企业、安全组织、研究者等能够一起加入,完成"合作式安全报告披露与处置",为共建良好互联网安全生态而努力.
2、我们将对每一位报告者的问题提供专人跟进、分析和处理,并及时予以答复及反馈.

对于每一位恪守白帽子精神、帮助字节跳动发现安全风险威胁的报告者,我们将给予以感谢和丰厚回馈.
3、以漏洞测试为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,或以漏洞作为要挟或进行贿赂行为的,平台将不予奖励,字节跳动将保留进一步追究法律责任的权利.
4、如果您对本流程有任何意见建议,欢迎发送邮件至security@bytedance.
com或通过QQ:3472473732向我们反馈.
一经采纳,字节跳动安全中心将送出精美礼品.
第二章安全报告处理流程2.
1提交流程注:请在security.
bytedance.
com上提交完整详尽的安全报告,并务必对您提交的漏洞进行保密,不得向任何第三方透露.
如您泄露了漏洞,字节跳动安全中心将不给予奖励,已支付的有权收回.
2.
2报告状态字节跳动安全中心(https://security.
bytedance.
com/)漏洞提交后3个工作日内,字节跳动安全中心会对收到的安全报告进行评估(状态:待确认/已确认):1、待确认:常规情况下,漏洞提交后3个工作日内(法定节假日顺延),字节跳动安全中心判断漏洞会否存在.
2、已确认:已确认的漏洞会出现两种结果,一种是确认存在,给予相应评分;一种是漏洞不存在或重复上报等,评分为0.
(漏洞不存在或重复上报等,字节跳动安全中心将忽略/驳回漏洞,并告知忽略/驳回理由,漏洞显示已关闭.
如有需要我们会联系您进行同步、确认.
)第三章平台奖励构成字节跳动安全中心奖励目前由漏洞/情报基础奖励、报告质量附加奖励、特殊漏洞/情报贡献奖、平台特色奖励4个版块构成,将依据行业情况、用户需求不断升级完善.
1、漏洞/情报基础奖励基础奖励介绍详见第四章、第五章内容.
2、报告质量附加奖励若提交的安全报告能够满足内容完整、描述详细、思路清晰/新颖等特点,审核人员将对报告质量进行1-50分的附加分奖励,即相当于10-500元附加价值.
参考规则:报告内容需包含【标题】【漏洞描述】【复现方法】【利用证明】【修复方案】【标题】漏洞影响域名和范围、涉及参数、漏洞类型等【漏洞描述】包含漏洞涉及的url、参数、应用版本等【复现方法】按逻辑进行漏洞复现描述,若使用工具,请提供工具名称【利用证明】包含漏洞影响说明和漏洞利用证明,一般以截图形式提供【修复方案】提供至少一条可执行的修复建议,可以提供代码级的修复建议,也可以提供防护策略评判标准:加分必要条件:报告首次提交时即全部包含上述5个元素标.
加分项:题明确概括漏洞情况、漏洞细节准确详细、漏洞证明清晰且逻辑完整、漏洞利用思路新颖、修复建议可执行性强等.
3、特殊漏洞/情报贡献奖当白帽子提交的安全报告涉及到大批核心或敏感数据、或能够获取核心服务器控制权限等影响巨大的安全问题的,经字节跳动安全中心核定后,将给予1-20W的额外现金奖励.
4、平台特色奖励平台将不定期推出或升级新人奖励、忠实白帽子奖励、个人/团队双月奖、年度奖、活动奖励等一系列奖励计划,奖励发布详情,请关注「字节跳动安全中心」公众号或平台公告查看.
字节跳动安全中心(https://security.
bytedance.
com/)第四章漏洞评分标准4.
1漏洞基础评分规则1、漏洞计分规则漏洞/情报得分=基础积分*业务系数基础积分依据严重、高危、中危、低危、无影响(忽略)五个等级进行判断,等级规则详见2.
2及2.
3业务系数依据核心业务、一般业务、其他业务三个等级及威胁等级进行判断,业务系数详见2.
4基础积分和等级系数对应表见表1-1严重高危中危低危基础积分12、10、89、8、76、5、43、2、1核心业务系数10060205一般业务系数6030103其他业务系数201051表12、漏洞基础奖励报告得分以"贡献值"累计形式体现奖励以安全币(或现金)形式发放,1安全币价值相当于10元人民币漏洞对应价值(元)严重高危中危低危核心业务12000、10000、80005400、4800、42001200、1000、800150、100、50一般业务7200、6000、48002700、2400、2100600、500、40090、60、30其他业务2400、2000、1600900、800、700300、250、20030、20、10表24.
2漏洞等级评审标准1、严重漏洞字节跳动安全中心(https://security.
bytedance.
com/)直接获取核心系统权限(服务器端权限、客户端权限)的漏洞,包括但不限于:远程命令执行漏洞、任意代码执行漏洞、SQL注入获取系统可执行权限、缓冲区溢出泄露大量核心敏感数据的漏洞,包括但不限于:核心DB的SQL注入漏洞、用户敏感信息接口越权导致的大范围泄露核心系统的严重逻辑设计缺陷或流程缺陷,包括但不限于批量修改任意账号密码漏洞、任意账号登陆、支付系统逻辑漏洞客户端敏感信息泄露的漏洞,包括但不限于远程获取用户敏感信息、本地越权访问TEE保护的支付相关或者用户认证相关信息、TEE任意代码执行设备端安全机制绕过,包括但不限于绕过SELinux2、高危漏洞直接获取一般系统权限(服务器端权限、客户端权限)的漏洞,包括但不限于:远程命令执行漏洞、任意代码执行漏洞、上传WebShell、SQL注入获取系统权限、缓冲区溢出、回显SSRF漏洞泄露大量重要敏感数据的漏洞,包括但不限于:非核心DB的SQL注入漏洞,可自动传播的存储型XSS漏洞,可获得重要数据操作权限的漏洞重要系统敏感越权操作漏洞造成客户端本地敏感信息泄露的漏洞,包括但不限于越权、命令执行的利用客户端远程永久性拒绝服务3、中危漏洞普通信息泄露,包括但不限于包含敏感信息的完整源代码泄露、无信息回显的SSRF漏洞普通系统越权操作漏洞存储型XSS漏洞、敏感信息的JSONP劫持、重要敏感操作的CSRF漏洞设备端保护功能绕过,如手机找回,出厂设置保护,密码保护客户端锁屏绕过客户端远程临时性拒绝服务4、低危漏洞轻微信息泄露漏洞,包括但不限于路径泄露、.
git文件泄露、DjangoDebug、phpinfo、服务端业务日志内容频控缺陷漏洞,包括但不限于短信炸弹、用户账户密码暴力破解可用于钓鱼或黑产的漏洞,包括但不限于任意URL跳转、反射型XSS、CSRF漏洞容易被利用的或产生较大影响的客户端不安全配置漏洞5、忽略与字节跳动无关的漏洞和安全无关的Bug类问题,包括但不限于网页打开比较缓慢、样式杂乱无法复现的漏洞,包括但不限于和漏洞审核员反复沟通均无法复现的漏洞内部已知漏洞,包括但不限于通用平台如Jenkis等已在网络上公开的漏洞、内部安全人员已经发现的漏洞无法利用或无危害的"漏洞",包括但不限于恶作剧CSRF(对用户无实际影响)、无法影响他人的本地拒绝服务、Self-XSS、非敏感信息泄露(内网IP、域名)等字节跳动安全中心(https://security.
bytedance.
com/)4.
3漏洞业务系数说明1、核心业务产品今日头条、抖音短视频、抖音火山版、西瓜视频、飞书五款产品的主营业务2、一般业务产品皮皮虾、懂车帝、Faceu激萌、开言英语、图虫、GoGoKid、轻颜相机、坚果品牌系列产品、穿山甲平台、好好学习、悟空问答、时光相册、多闪、飞聊3、其他业务产品其他业务指除以上外,包括但不限于字节跳动投资、合资公司且服务器归属于字节跳动的业务注:业务归属将依据公司发展情况不定期调整4.
4漏洞特殊记分说明1、同一漏洞源产生的多个漏洞按照一个漏洞计数.
例如同一个JS引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个安全漏洞等.
2、涉及到第三方组件漏洞,如UC浏览器内核、第三方库、android或chromium的原生漏洞等,按下述方式处理:1)如果提交相关基础组件nday漏洞,提交的漏洞已公开,时间在半年内且字节跳动已知晓该漏洞,则忽略/驳回,不予记分;若字节跳动不知晓该漏洞,或者该漏洞已公开时间超过半年,字节跳动仍未修复,会根据实际攻击演示效果来评估定级,需提供nday具体链接及CVE编号,并且至少需提供了可利用证明(如poc能证明造成信息泄露、控制pc等).
2)如果提交相关基础组件0day漏洞,且提供了可利用证明(如poc能证明造成信息泄露、控制pc等)会根据实际攻击演示效果来评估定级.
3、报告网上已公开的漏洞不予计分.
4、漏洞报告的详细程度会影响最终得分.
5、同一份报告中提交多个漏洞,只按危害级别最高的漏洞计分.
6、同一漏洞,首位报告者计分,其他报告者均不计.
7、未经允许对外披露漏洞细节,将不予记分,已支付的有权收回.
第五章情报评分标准5.
1情报评分规则情报评分规则字节跳动安全中心(https://security.
bytedance.
com/)严重高危中危低危500-800分100-300分20-50分2-15分5000-8000元1000-3000元200-500元20-150元表3注:针对影响巨大的情报,1-20W的额外现金奖励规则同样适用.
5.
2情报收取范围说明1、安全情报包括但不限于:服务器被入侵且提供了入侵行为特征等关键线索核心业务数据库被下载,并提供数据库名或文件等关键线索支付业务逻辑漏洞利用、业务流程绕过等关键线索蠕虫传播、流量劫持等提供源链接、网络数据包样本等关键线索用户敏感数据大规模被窃取且提供了攻击代码、漏洞利用工具等关键线索能够帮助完善防御系统,新型攻击方式、技术等提供详细分析2、业务情报包括但不限于:提供字节跳动产品批量恶意账号注册、有组织的进行薅羊毛等行为的关键线索提供泄露字节跳动内部信息、用户数据等行为的关键线索,网盘、GitHub等第三方分享或泄露字节跳动相关敏感文件、重要数据等提供字节跳动产品刷量行为的关键线索,如:关注、分享、点赞、评论、阅读量、播放量等提供字节跳动直播类作弊行为的关键线索,如:刷人气、抢红包等提供字节跳动支付类作弊行为的关键线索,如:苹果IOS代退款5.
3情报关键线索说明提交威胁情报时,应包含所提交情报场景所对应的关键线索,以便审核人员验证、追踪.

如表4说明关键线索关键词示例关系人(具体人或组织的信息)联系方式及团体交流渠道(如QQ群、社区、YY等),论坛网址等流程(操作步骤及使用工具等)提供作弊或攻击的步骤过程说明证据/样本提供具体软件或操作过程截图证据表4字节跳动安全中心(https://security.
bytedance.
com/)5.
4情报特殊计分说明1、相同情报内容,首位报告者计分,其他报告者均不计.
2、报告评分与线索详细程度相关联.
3、未经允许对外披露情报内容,将不予记分,已支付的有权收回.
第六章注意事项1、此规则适用于字节跳动安全中心平台上的所有中国国内(含港澳台)白帽子2、任何白帽子若对漏洞报告的处置存在异议,请及时与工作人员QQ3472473732联系.
字节跳动安全中心将以白帽子利益优先原则处理,必要时可引入外部安全人士共同裁定.