JSRC 漏洞评分新规则 | 系数全面上调、优质报告“加鸡腿”价值≥1个中危

阅读量166506

发布时间 : 2018-07-19 17:30:17

活动简介

JSRC漏洞评分规则6.0出炉啦!距离上次评分规则的更新已有一年,这一年来,我们将所有收集到的来自白帽子的反馈、争议进行整理分析,不断求取白帽子和同行意见,反复修改。今天,规则6.0终于出炉啦,感谢对此规则给予过建议的朋友,在此要特别感谢Jinone、花生、v清风、Alice对本规则的大力帮助。下面就和小妹一起看看新版评分规则主要有哪些重要更新吧~

 

活动时间

2018年7月24日起

 

活动地点

线上

 

主办方

京东SRC

 

活动详情

一、积分计算方式

首先一个比较大的更新是漏洞积分的计算方式,新版规则根据涉及数据的敏感程度及业务重要性,按核心、一般、边缘业务分别计算分数,更贴近业务实际场景,计算公式为:漏洞积分 = 基础积分 * 业务的等级系数如下表:
 
并且大家可以看到,本次更新将所有业务等级的系数都上调了,因此奖励也是上浮了不少,核心业务单个漏洞最高7500元的奖励!!说的我都心动了,来看看具体的漏洞奖励列表吧:
注:同时,我们的特殊漏洞现金奖励计划没有变化,最高50w人民币的现金奖励,等你来拿!

二、漏洞报告打赏

新版评分规则除了在积分计算方式上有所改变,更是新增一个加分项,即:高质量漏洞报告积分奖励对于漏洞描述详细、报告内容完整、思路清晰的漏洞报告,审核人员将对报告者进行额外奖励(奖励分数范围10-100,即50元—500元的鼓励)规范书写报告既能锻炼自己的文档能力,又能拿到大于等于1个中危漏洞的奖励,何乐而不为呢~点击阅读原文可查看高质量漏洞报告的评判标准该项奖励已经实行一段时间,到目前为止已有4位白帽子获得这项奖励:
感谢这些用心书写漏洞报告的师傅们~

三、业务范围更新

为了方便大家测试,本次规则对漏洞测试范围进行了更新,不仅补充了web测试范围、还新增了APP和IOT的测试范围:京东商城:*.jd.com、*.jd.hk等;1号店:*.yhd.com、*.yihaodian.com等;京东物流*.jdwl.com 等;京东海外*.joybuy.com、*.jd.ru 、*.jd.co.th 、*.jd.id等;京东医药*.healthjd.com、*.yiyaojd.com等;7fresh:*.7fresh.com等;京东金融:*.jr.jd.com、*.baitiao.com、*.jdpay.com、 *.wangyin.com等;京东云:*.jcloud.com、*.jdcloud.com 等;京东App重点关注:拍拍二手,7Fresh,1号店  ,京东阅读,手机京东,TOPLIFE,京东微联,JD.id(印尼版本),JOYBUY(俄罗斯版本)等IOT业务范围:核心产品:叮咚二代、Top 、微联硬件

一般产品:A1/A1X

边缘产品:Q1、Q3、A3

以上,我们依据业务受漏洞影响的重要程度做了业务等级划分,仅为JSRC评分之目的使用,可点击阅读原文了解

四、漏洞的挂起和复查

在新版评分规则的漏洞反馈和处理流程中
新增了漏洞的挂起阶段,白帽子在提交漏洞时,若有漏洞描述不清晰或者证据不充分导致漏洞无法复现的问题,审核人员会将漏洞设置为挂起状态,以减少误忽略的情况。漏洞复查阶段,白帽子可对状态为已修复的问题进行复查,若问题仍存在,可再次提交反馈。JSRC已确认的漏洞,3个月后复查若问题仍然存在,无论漏洞当前状态,均可再次提交。(赚钱的法子都写在这里了,别说我没告诉你) 

五、其他

除了以上这些大的变化,新规6.0还有以下小改动:1.高、中、低、无危害漏洞部分内容调整2. 威胁情报内容及范围更新3. 威胁情报评分标准更新4.通用原则条目部分更新

 

本规则将于下周二即2018.7.24开始实行
新规则下载

 

商务合作,文章发布请联系 anquanke@360.cn
分享到:微信
+10赞
收藏
京东安全应急响应中心
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66