魅族安全五月活动来袭!

阅读量    27217 | 评论 6

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

夏天又要到了,哈哈哈又到了挥洒金钱的时候
魅族安全帮你回回血
省下出去浪的时间
省下不必要的时间
来魅族SRC挖挖洞
立马让你钱包回血哈哈哈哈~

关于魅族SRC

魅族一直致力于建设诚信、公平、共荣的互联网环境,魅族安全响应中心诚邀您加入我们,为打造更好、更安全的互联网生态环境尽一份力。

 

活动时间

2018.5.07-2018.6.07

 

活动官网

http://sec.meizu.com

 

奖励方式

• 提交中危并确认有效的漏洞将奖励积分+300元京东卡
• 提交高危并确认有效的漏洞将奖励积分+600元京东卡
• 提交严重并确认有效的漏洞将奖励积分+1000元京东卡 (提交核心严重漏洞不影响原本规则里的奖励)
提交核心业务漏洞将额外奖励300元京东卡。
超级划算有没有!只要提交漏洞并被确认即可获得奖励,不受漏洞个数限制,提交多少个即可获得多少奖励啊!
(请在个人信息中完善收货地址方便礼品的赠送)
(获奖结果将在活动结束后一个星期内公布)

 

评分规则

积分计算

积分分值由漏洞对应用的危害程度以及业务的重要程度决定:积分分值=漏洞基础分值X业务重要性等级
例如:一个核心业务远程执行漏洞的分值为100,计算方法为:漏洞基础分值(严重:10)X业务重要性等级(核心业务:10)

漏洞等级

根据漏洞的危害程度将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【无】五个等级。每个漏洞总基础贡献值为10分, 每种等级包含的评分标准及漏洞类型如下:

【 严重 】

基础分值【9~10】,本等级包括:
1、直接获取系统权限(服务器权限、客户端权限)的漏洞。包括但不限于远程任意命令执行、代码执行、任意文件上传获取Webshell、缓冲区溢出、SQL注入获取系统权限、服务器解析漏洞、文件包含漏洞等
2、严重的逻辑设计缺陷。包括但不限于任意账号登陆、任意账号密码修改、短信邮件验证的绕过。
3、严重的敏感信息泄露。包括但不限于严重的核心DB SQL注入、任意文件包含等。
4、越权访问。包括但不限于绕过验证直接访问后台、后台登录弱口令、匿名FTP访问,SSH弱口令,数据库弱口令等。

【 高危 】

基础分值【6~8】,本等级包括:
1、敏感信息泄漏。包括但不仅限于非核心DB SQL注入、源代码压缩包泄漏、可获取大量用户交易信息的接口、服务器应用加密可逆或明文、移动API访问摘要、硬编码等问题引起的敏感信息泄露。
2、敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、任意订单查看、任意用户敏感信息访问、获取大量内网敏感信息的SSRF等。
3、越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改等较为重要的越权行为。
4、大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的存储型XSS(包括存储型DOM-XSS)和涉及交易、资金、密码的CSRF等。
5、影响到服务器的本地提权漏洞。

【 中危 】

基础分值【3~5】,本等级包括:
1、需交互方可影响用户的漏洞。包括但不仅限于普通CSRF、URL跳转漏洞。
2、普通越权操作。包括但不仅限于不正确的直接对象引用。
3、普通信息泄漏。包括但不仅限于web路径遍历、系统路径遍历等。
4、普通的逻辑设计缺陷和流程缺陷。

【低危】

基础分值【1~2】,本等级包括:
1、轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN信息泄漏、phpinfo、异常信息泄露、日志打印、配置信息、异常信息等。
2、难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、可引起传播和利用的 Self-XSS、需构造部分参数且有一定影响的CSRF。
3、反射型 XSS(包括反射型 DOM-XSS)

【 无 】

基础分值【0】,本等级包括:

1、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。

2、无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。

3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。

业务重要性等级

核心业务

核心业务的业务重要性等级为10。
凡提交核心业务”严重等级”漏洞额外奖励1000元京东卡。
核心业务包括:BBS、商城、门户网站、应用中心、游戏中心、用户中心、OA、支付系统。

普通业务

普通业务的业务重要性等级为2。
普通业务包括:核心业务以外的其他业务。

评分标准通用原则

1) 评分标准仅适用于魅族产品和业务。与魅族完全无关的漏洞,不计贡献值。
2) 对于非魅族自身发布的产品和业务,不计贡献值。
3) 第三方产品的漏洞只给第一个提交者计贡献值,最高不超过5贡献值,等级不高于【中危】,且不保证修复时长,包括但不限于魅族正在使用的discuz等服务端相关组件等;不同版本的同一处漏洞视为相同漏洞。
4) 同一个漏洞源产生的多个漏洞计漏洞数量为一。例如 discuz 的安全漏洞、同一个 JS 引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个 安全漏洞等。
5) 各等级漏洞的最终贡献值数量由漏洞利用难度及影响范围等综合因素决定,若漏洞触发条件非常苛刻,包括但不限于特定浏览器才可触发的xss漏洞,则可跨等级调整贡献值数量。
6) 同一漏洞,首位报告者计贡献值,其他报告者均不计。
7) 在漏洞未修复之前,被公开的漏洞不计分。
8) 报告网上已公开的漏洞不计贡献值。
9)拒绝无实际危害证明的扫描器结果。
10) 同一份报告中提交多个漏洞,只按危害级别最高的漏洞计贡献值。
11) 以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,将不会计贡献值,同时魅族保留采取进一步法律行动的权利。

详细评分规则查看:https://sec.meizu.com/standard

 

核心业务范围

BBS

商城

门户网站

应用中心

游戏中心

用户中心

OA

支付系统

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多