DYSRC漏洞奖励标准及评分细则

公告编号：DYSRC-2017-7

公告来源：斗鱼安全应急响应中心

发布日期：2017-07-8

漏洞处理流程

【漏洞提交】

白帽子注册/登录斗鱼安全应急响应中心提交报告，提交成功后显示状态“已提交”。

【漏洞审核阶段】

斗鱼安全应急响应中心三个工作日之内专员审核（法定节假日顺延）。DYSRC对漏洞报告状态（已提交、审核中、已驳回、已确认、已修复）进行评估：

已提交    ：提交者提交报告，状态为已提交

审核中    ：专员准备审核时，会将已提交状态更改为审核中

已驳回    ：当漏洞审核忽略，会将审核中状态更改为已驳回

已确认    ：当漏洞审核通过，会将审核中状态更改为已确认

已修复    ：当漏洞修复完成，会将已确认状态更改为已修复

【漏洞处理阶段】

漏洞修复需要一定时间，有新的进展我们会第一时间反馈给提交者。修复后的报告状态变更为“已修复”，并将鱼币和贡献值发放给白帽子。

漏洞危害等级评定标准

鱼币、贡献值计算方法

贡献值由漏洞对应用的危害程度以及基础积分、贡献系数决定：贡献值=积分X奖励系数。贡献值只会累加不会减少，用于奖励颁发。

鱼币由漏洞对应用的危害程度以及基础积分、贡献系数决定：鱼币=积分X奖励系数。鱼币可以增加，兑换礼品会减少，用于礼品兑换。

例如：远程代码执行漏洞的贡献值为500，计算方法为：积分（严重漏洞：50）X奖励系数（严重漏洞：10）。

该漏洞的鱼币为500，计算方法为：积分（严重漏洞：50）X奖励系数（严重漏洞：10）。

现金与鱼币的比例：现金/鱼币=10/1

漏洞奖励对照表

漏洞等级

根据漏洞的危害程度将漏洞等级分为【严重】、【高】、【中】、【低】、【无】五个等级。由DYSRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的贡献值和漏洞定级，每种等级包含的评分标准及漏洞类型如下：

【 严重 】

积分【30~50】，奖励系数【10】，本等级包括：

1）严重的敏感信息泄露，包括但不限于可以获取重要数据的SQL注入漏洞（资金、身份、交易相关）、源代码泄露以及任意文件读取和下载漏洞（如包含重要服务口令），系统权限控制不严格等导致的敏感数据泄露漏洞，公司内部核心数据泄露等；

2）严重的逻辑设计缺陷和流程缺陷。包括但不限于任意账号登陆、任意账号密码密保修改、帐密校验逻辑、核心接口数据验证逻辑、支付逻辑漏洞等，以任意人身份敏感操作等；

3）远程直接获取核心系统权限的漏洞（服务端和客户端），包括但不限于远程任意命令执行、远程代码执行、上传获取WebShell 、缓冲区溢出、SQL注入获取系统权限等；

4）直接获取基础架构系统权限包括但不限于：核心业务操作系统、核心业务数据库、防火墙等；

5）直接导致核心业务拒绝服务的漏洞。包括但不仅限于直接导致线上业务拒绝服务、可导致大量用户崩溃掉线等。（DDoS攻击等资源耗费型的拒绝服务除外）

【 高危 】

积分【15~30】，奖励系数【8】，本等级包括：

1）    敏感信息泄漏。包括但不仅限于非核心DB SQL注入、源代码压缩包泄漏、可获取大量用户交易信息的接口、服务器、应用加密可逆或明文的敏感信息泄露；

2）    越权访问，包括但不限于敏感信息修改、敏感信息读取、进行涉及钱财的操作、重要业务配置修改、获取大量内网敏感信息等；

3）大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS（包括存储型DOM-XSS）、涉及交易、资金、密码的CSRF；

4）涉及资金、订单和用户敏感信息的逻辑设计缺陷和业务流程缺陷；

5）弱口令。重要系统后台的弱口令；

6）SSRF类型漏洞可探测内网等；

7）属于严重级别中所描述的漏洞类型，但是产生在非核心系统中的漏洞；

8）本地代码执行漏洞，包括但不限于内存破坏、类型混淆、整数问题等导致的可利用本地代码执行漏洞

【 中危 】

积分【5~15】，奖励系数【6】，本等级包括：

1）需交互才能获取用户身份信息的漏洞。包括但不限于核心业务的存储型XSS 、反射型XSS、JSON劫持 、重要敏感操作的CSRF、URL跳转漏洞；

2）普通信息泄漏。包括但不仅限于客户端明文存储密码、客户端密码明文传输以及web路径遍历、系统路径遍历。非重要系统的普通代码泄露；

3）普通越权操作，包括但不仅限于不正确的直接对象引用，越权读取、越权篡改数据、越权访问非重要系统后台；

4）普通但有一定影响的逻辑设计缺陷和业务流程缺陷；

5）可导致资源滥用或造成对用户骚扰的漏洞，包括但不限于：短信炸弹、邮件炸弹等；

6）弱口令。普通系统后台的弱口令；

【 低危 】

积分【1~5】，奖励系数【4】，本等级包括：

1）客户端本地拒绝服务漏洞。包括但不仅限于组件权限导致的本地拒绝服务漏洞；

2）远程拒绝服务漏洞，包括但不限于攻击接口、页面、组件导致的拒绝服务等；

3）轻微信息泄露。包括但不限于路径信息泄露、phpinfo、异常信息泄露、无具体代码的svn/git信息泄露、以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息、已脱敏的用户信息泄露等；

4）其他只能造成轻微影响的漏洞。反射型XSS(包括反射型DOM-XSS)、普通CSRF、URL跳转漏洞；

5）无限制短信接口，可存在暴力破解的接口

【 无 】

积分【0】，奖励系数【0】，本等级包括：

1）无关安全的bug，包括但不限产品功能缺陷、页面乱码、样式混乱、无安全影响的本地拒绝服务、应用兼容性；

2）无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏、版本过低；

3）无法重现的漏洞、无任何证据的猜测；

4）和公司无关的安全漏洞

评分标准通用原则

1、同一漏洞源引发的多个漏洞计漏洞数量为一。

2、同一漏洞，首位报告者计贡献值和鱼币，其他报告者均不计。

3、在漏洞未修复之前，被公开的漏洞不计分，鱼币不发放。

4、报告网上已公开的漏洞不计贡献值和鱼币。

5、同一份报告中提交多个漏洞，只按危害级别最高的漏洞计贡献值。

6、严格保密已提交的漏洞，如若泄密一经发现撤回所有奖励。

7、以测试漏洞为借口，利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的，将不计贡献值和鱼币，同时斗鱼网络科技有限公司保留采取进一步法律行动的权利。

争议解决办法

在漏洞报告处理过程中，如果报告者对漏洞处理流程、漏洞评定、漏洞评分等有异议的，可微信联系负责人员：kathrianwly。 DYSRC将根据反馈重新商定结果做调整。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/