公告编号:悟空租车SRC漏洞评分标准及测试范围作者:悟空租车发布日期:2024/06/18
一、奖励制度及评分标准
1. 奖励标准
漏洞奖励=业务系数*基础安全币。奖励的安全币可以以1:2的比例兑换悟空币,在租车时抵扣现金。
悟空租车根据业务的重要程度分为核心业务、一般业务、边缘业务三类。其中核心业务为悟空租车主流程且影响范围较广的业务和产品;边缘业务为日活量较低、影响范围较小的业务和产品;其他业务和产品归属为一般业务。
2、业务系数
业务系数 | ||
核心业务 | 一般业务 | 边缘业务 |
1.2~1.5 | 0.8~1 | 0.1~0.5 |
3、基础奖励
漏洞安全币 | ||||
等级 | 严重 | 高危 | 中危 | 低危 |
基础安全币 | 150~200 | 80~120 | 30~50 | 1~10 |
核心业务 | 180~300 | 100~180 | 35~75 | 1~15 |
一般业务 | 120~200 | 60~120 | 25~50 | 1~10 |
边缘业务 | 15~100 | 10~60 | 5~25 | 1~5 |
二、 漏洞定级标准
【严重】
1、 直接获取核心服务器权限的漏洞,包括但不限于上传 Webshell、任意代码执行、远程命令执行等。
2、 直接导致严重的信息泄露漏洞,包括但不限于重要数据库的 SQL 注入、系统权限控制不严格等导致的大范围敏感数据泄露漏洞等。
3、 直接导致严重影响的逻辑漏洞,包括但不限于核心账户体系的账密校验逻辑、价格校验逻辑、订单流程变更逻辑等。
【高危】
1、重要业务敏感数据信息泄露漏洞,包括但不限于重要用户信息、订单信息、数据文件信息等。
2、重要业务的逻辑漏洞,包括但不限于权限绕过造成资产损失或信息泄露等。
3、不需交互的重点业务漏洞,包括但不限于文件遍历、任意文件包含、任意文件读取等。
4、包含重要业务敏感信息的非授权访问,包括但不仅限于绕过认证直接访问管理后台、后台弱密码、可直接获取大量内网敏感信息的 SSRF 等。
【中危】
1、不需交互对用户产生危害的安全漏洞,包括但不限于一般页面存储型 XSS 等。
2、普通信息泄露漏洞,包括但不限于用户信息泄露和业务敏感信息泄露等。
3、普通的逻辑设计缺陷和流程缺陷,包括但不限于越权查看非核心系统的订单信息、用户一般信息等。
4、其他造成中度影响的漏洞,例如:没有敏感信息的 SQL 注入、无回显 SSRF 漏洞等。
【低危】
1、在特殊条件下才能获取用户信息的安全漏洞,包括但不限于反射 XSS 等。
2、轻微信息泄露,包括但不限于服务器物理路径、边缘系统文件、本地日志等。
3、其他造成低危害的漏洞,例如:管理后台开放、解析漏洞、存在可被暴力破解非核心接口等。
【忽略】
1、 无关安全的 bug。包括但不限于网页乱码、网页无法打开、某功能无法用。
2、 无法利用的“漏洞”。包括但不限于没有实际危害的“扫描”报告、Self-XSS、无敏感信息的 JSONHijacking、无敏感操作的 CSRF、无意义的源码泄漏、内网 IP 地址/域名泄漏、401 基础认证钓鱼、程序路径信任问题、无敏感信息的信息泄漏(如无敏感信息的/metrics,/.htaccess,/DS_store,/ swagger-ui 等)。
3、 非悟空租车业务漏洞,测试系统的无效漏洞。
三、 适用范围
本标准适用于悟空租车所有产品和业务,包括悟空租车官网、微官网、app、小程序等。