平安好学安全应急响应中心

iSRC漏洞评分标准

发布日期：2020年5月19日

| 编写人             | 平安好学安全应急响应中心|
| :------------     |:-----------------:       | 
| 版本号             | V2.0                     | 
| 使用范围           | 通过iSRC收到的所有漏洞报告  |
| 最后更新时间        | 2020-09-04               | 
| 修订记录           | V2.0修订：2020-09-04      |

###【声明】

通过平安好学漏洞奖励计划，向平安好学提交漏洞，将等同于你已接受平安好学漏洞报告和奖励的全部条款。

###【基本原则】
1. 平安好学非常重视自身产品和业务系统的信息安全问题，也意识到安全研究者和社区对平安好学提升自身产品和业务系统安全水平的帮助。我们承诺对每一位报告者反馈的问题都有专人负责跟进、反馈 、分析和处理，并及时给予答复。
2. 平安好学恪守并支持负责任的漏洞报告流程，尊重每一位白帽子的研究成果。真诚欢迎每一位白帽子向平安好学安全应急相应中心报告漏洞，对于每位恪守白帽子精神，积极维护用户以及平安好学产品安全的白帽子们，我们将按照漏洞质量给予感谢和回馈。
3. 平安好学将用户利益放在第一位，尽最大努力保护平安好学用户的利益。
4. 平安好学反对并谴责以下行为，并保留依法追究责任的权利：
（1）以测试为借口，利用漏洞进行破坏，损害用户利益的行为，包括但不限于利用漏洞盗取用户资料、隐私及虚拟财产。
（2）在漏洞测试过程中下载平安好学的任何代码和数据。（如果发现可能导致代码和数据泄漏的问题，不实际下载内容并不会影响对漏洞的评级）。
（3）利用漏洞攻击平安好学的系统，造成系统宕机或者失效。
（4）利用安全漏洞的恐吓、敲诈行为或恶意夸大漏洞影响，引起公众恐慌的行为。
（5）不负责任的漏洞披露，恶意传播漏洞，或在报告漏洞后、漏洞未修复前，对漏洞进行公开、传播或交易的行为。
（6）有害或者结果不可控的安全测试行为。
（7）违反国际通用法律或者当地法规的测试行为。
（8）不能妥善保管漏洞测试过程中的数据，导致平安好学蒙受损失的行为。

###【贡献值、安全币计算方法】

贡献值由漏洞对应用的危害程度以及应用的重要程度决定：贡献值=基础贡献值x应用系数。贡献值将用于荣誉奖励颁发。

安全币由漏洞对应用的危害程度以及应用的重要程度决定：安全币=基础安全币x应用系数。安全币将用于礼品奖励兑换。

###贡献值和安全币对应表

| 业务系数\漏洞等级  | 严重漏洞【200~500】| 高危漏洞【100~200】|中危漏洞【30~40】|低危漏洞【1~20】
| :------------    |:-----------------:| -----------------:|---------------:|---------------:|
| 核心业务(10)      | 2000-5000         | 1000-2000         |300-400         |100-200         |
| 一般业务(4)       | 800-2000          | 400-800           |120-160         |4-80            |
| 边缘业务(1)       | 200-500           | 100-180           |30-40           |1-20            |

###【业务等级】

1、**核心业务**)业务数据包含家长、学生、老师的敏感数据（**手机号，邮箱，银行卡等联系方式**）且包括约课、在线教室等的核心业务。

2、**一般业务** 业务数据不包含家长、学生、老师的敏感数据（手机号，邮箱，银行卡等联系方式）且不包括约课、在线教室等的一般业务。

3、**边缘业务** 一般业务中的非核心业务，包括第三方供应提供的系统。

###【评分标准】

### 漏洞等级
根据漏洞的危害程度将漏洞等级分为【严重】、【高】、【中】、【低】、【无】五个等级。由iSRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的贡献值和漏洞定级，每种等级包含的评分标准及漏洞类型如下：

###【 严重 】
**特别说明：对于特别严重的漏洞，会根据漏洞影响和利用难度给予额外奖励。额外奖励5000元-10000元>特别说明：对于特别严重的漏洞，会根据漏洞影响和利用难度给予额外奖励。额外奖励5000元-10000元**

1、直接获取核心系统权限的漏洞（服务器权限、PC客户端权限）。包括但不仅限于远程命令执行、任意代码执行、上传获取Webshell、SQL注入获取系统权限、缓冲区溢出（包括可利用的 ActiveX缓冲区溢出）。

2、直接导致业务拒绝服务的漏洞。包括但不仅限于直接导致移动网关业务API业务拒绝服务、网站应用拒绝服务等造成严重影响的远程拒绝服务漏洞。

3、严重的敏感信息泄漏。包括但不仅限于核心 DB（资金、身份、交易相关） 的 SQL 注入，可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露。

4、严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。

###【 高 】

1、敏感信息泄漏。包括但不仅限于非核心DB SQL注入、源代码压缩包泄漏、服务器应用加密可逆或明文、移动API访问摘要、硬编码等问题引起的敏感信息泄露。

2、敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息的SSRF。

3、直接获取系统权限的漏洞（移动客户端权限）。包括但不仅限于远程命令执行、任意代码执行。

4、越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改等较为重要的越权行为。

5、大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS（包括存储型DOM-XSS）和涉及交易、资金、密码的CSRF。

###【 中 】

1、需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS、反射型 XSS（包括反射型 DOM-XSS）、网站敏感数据的JSON Hijacking、重要操作CSRF、URL跳转漏洞。

2、普通越权操作。包括但不仅限于不正确的直接对象引用。影响业务运行的Broadcast消息伪造等Android组件权限漏洞等。

3、普通信息泄漏。包括但不仅限于客户端明文存储密码、客户端密码明文传输以及web路径遍历、系统路径遍历。

4、普通的逻辑设计缺陷和流程缺陷。

###【 低 】

1、本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务（解析文件格式、网络协议产生的崩溃），由Android组件权限暴露、普通应用权限引起的问题等。

2、轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN信息泄漏、PHPinfo、异常信息泄露，以及客户端应用本地SQL注入（仅泄漏数据库名称、字段名、cache内容）、日志打印、配置信息、异常信息等。

3、难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、可引起传播和利用的Self-XSS、需构造部分参数且有一定影响的CSRF。

###【 无 】

1、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。

2、无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。

3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。

###【评分标准通用原则】

1、评分标准仅适用于平安好学的产品和业务。与平安好学完全无关的漏洞，不计贡献值。

2、对于非平安好学自身发布的产品和业务，如合作区业务，贡献值不超过5，等级不高于【中】，且不保证能按照预定时间处理；

3、**第三方产品引起的漏洞只给第一个提交者计贡献值，最高不超过5贡献值，等级不高于【中】，且不保证修复时长，包括但不限于平安好学正在使用的Apache等服务端相关组件、OpenSSL、第三方SDK等；不同版本的同一处漏洞视为相同漏洞**。

4、同一个漏洞源导致的多个利用点按照级别最高的奖励执行。例如同一个 JS 引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个安全漏洞等。

5、各等级漏洞的最终贡献值数量由漏洞利用难度及影响范围等综合因素决定，若漏洞触发条件非常苛刻，包括但不限于特定浏览器才可触发的XSS漏洞，则可跨等级调整贡献值数量。

6、同一漏洞，首位报告者计贡献值，其他报告者均不计分。

7、在漏洞未修复之前，被公开的漏洞不计分。

8、报告网上已公开的漏洞不计贡献值。

9、同一份报告中提交多个漏洞，只按危害级别最高的漏洞计贡献值。

10、以测试漏洞为借口，利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的，将不会计贡献值，同时平安好学保留采取进一步法律行动的权利。

###【奖励发放原则】

奖品使用安全币兑换，多个漏洞产生的安全币可累加。除非特别声明，未使用的安全币不会过期。

礼品每月邮寄一次，以上个月20号到当月20号为一个周期，兑换的礼品会在22号寄出。（非工作日则顺延），如因报告者未能完善资料导致的延误，将顺延至下个月批量寄送时寄出；如因报告者过失、快递公司问题及人力不可抗拒因素产生的奖品丢失或者损坏，iSRC 不承担责任。

奖品上架时有数量限制，当期上架奖品被兑换完后不再接受兑换。

###【争议解决办法】

在漏洞处理过程中，如果报告者对处理流程、漏洞评定、漏洞评分有争议的，请通过邮件pub_pahxsecurity@pingan.com.cn并以邮件标题【漏洞处理异议】进行反馈，我们会有专门工作人员负责优先处理此类反馈。

###【安全测试注意事项】

1、生产环境禁止大范围扫描器扫描，以免引起故障。

2、只有第一个提交的漏洞会被确认(漏洞描述不清的直接忽略) ，其余按照重复忽略。

3、sql注入要求至少到注出数据库名称，不达标按驳回处理；

4、XSS必须说明POC、输入点、输出点，URL和截图都需要，不达标按驳回处理；

5、同一功能模块下多个注入点或者多个xss算一个漏洞。

6、禁止利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的，平安好学保留采取进一步法律行动的权利。

###【漏洞报告要求】

符合要求并且高质量的漏洞报告将会加快iSRC漏洞评估的进程，同时加快您获得奖金的进程。高质量的报告包括：

（1）详细描述漏洞的细节，并包括漏洞的易利用程度和危害性；

（2）复现漏洞的详细步骤；

（3）提供详细的测试环境信息，包括：

漏洞涉及的URL/APP 、代码片段；

您在测试使用的公网IP地址；

您在测试时使用的帐号；

非破坏性的漏洞POC（比如对于RCE漏洞，运行“hello word”）；

保留测试时的数据，并且作为报告附件提交。

**注意：缺少上述信息可能会导致iSRC评估漏洞困难，并且影响对您的响应及奖金支付事宜。**

###【关于漏洞披露】

1. 不可在未获得 平安好学书面许可的情况下公布或告知他人漏洞细节。
2. 获得平安好学许可后，在披露过程中不得公布与用户隐私数据、平安好学服务器地址等可能侵犯平安好学及用户隐私的信息。
3. 客观、诚实地描述漏洞的影响，夸大漏洞影响，煽动用户恐慌的行为将会受到追究。
4. 任何访问、下载、传播平安好学源码或者数据的行为可能触犯法律，并且平安好学保留追究的权利。

###【条款变更】

平安好学有权在任何时候变更漏洞奖励计划的相关条款，策略和奖金金额，而不对报告者进行通知。

注：
 ** [1]大量： 超过10000条;** 
**[2]重要信息 **