BILISRC 漏洞处理和评分标准V1.4版本发布

关注BILISRC的朋友们大家好，
BILISRC漏洞处理和评分标准V1.4版本正式面世啦！
上一次漏洞处理和评分标准V1.3于2020年10月发布。期间随着哔哩哔哩产品发展状况，V1.3版本的适用性在降低，因此V1.4标准诞生啦。针对漏洞评分标准、安全情报评分标准以及通用规则我们作出了以下变更。

V1.4标准的改变？

01 漏洞评分标准的改变

更新边缘业务范围及评分说明，更新个别漏洞评分说明。详细变更内容如下：

（三）漏洞相关评分标准
根据漏洞的危害程度将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【无效】五个等级。每个漏洞基础经验值最高为10，由 BILISRC 结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的经验值、安全币和漏洞定级。
边缘业务的安全漏洞根据具体情况进行降级或忽略。边缘业务范围依据公司发展情况不定期调整，主要包括但不限于：
1. 测试环境的业务
2. 哔哩哔哩相关公众号
3. 与哔哩哔哩合作的产品和业务，如哔哩哔哩漫画、音频、猫耳、客服系统、我的世界中文论坛、轻视频等

【高危】经验值 6~8 / 安全币 200~400
1. 敏感信息泄漏。包括但不仅限于非核心DB SQL注入、源代码压缩包泄漏、服务器应用加密可逆或明文、移动API访问摘要、硬编码等问题引起的敏感信息泄露。
2. 敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息的SSRF。
3. 直接导致业务拒绝服务的漏洞。包括但不仅限于直接导致移动网关业务API业务拒绝服务、网站应用拒绝服务等造成较高影响的远程拒绝服务漏洞。
4. 越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改等较为重要的越权行为。
5. 大范围影响用户的其他漏洞。包括但不仅限于核心系统重要页面（如主站首页、分区首页、直播间首页）的存储型XSS（包括存储型DOM-XSS）和涉及交易、资金、密码的CSRF。
6. 直接获取系统权限的漏洞。包括但不仅限于远程命令执行、任意代码执行等。

【中危】经验值 3~5 / 安全币 30~100
1. 需交互或其他前置条件才能影响用户的漏洞。包括但不仅限于一般页面的存储型XSS、敏感信息的 JSONP 劫持、重要操作（如支付类操作、修改个人账号敏感信息类操作）的CSRF。
2. 可攻击管理后台的 XSS 类攻击（需提供前台攻击位置，定位风险）
3. 普通越权操作。包括但不仅限于不正确的直接对象引用。影响业务运行的Broadcast消息伪造等Android组件权限漏洞等。
4. 普通信息泄漏。包括但不仅限于客户端明文存储密码、客户端密码明文传输以及web路径遍历、系统路径遍历。
5. 远程拒绝服务漏洞。包括但不仅限于客户端远程拒绝服务（解析文件格式、网络协议产生的崩溃），由 Android 组件权限暴露、普通应用权限引起的问题等（默认配置情况下）。
6. 普通的逻辑设计缺陷和流程缺陷。
【无效】经验值 0 / 安全币 0
1. 提交的报告书写过于简单（如报告未指明业务路径、未证明漏洞危害），无法根据报告内容复现，包括但不限于和漏洞审核员反复沟通均无法复现的漏洞。
2. 不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性、弹幕无法显示等问题。
3. 无法利用的“漏洞”。包括但不限于没有实际意义的扫描器漏洞报告（如 Web Server 的低版本）、Self-XSS、无敏感信息的 JSON Hijacking、无敏感操作的 CSRF (如添加购物车、非重要业务的订阅、非重要业务的普通个人资料修改等)、无意义的源码泄漏、内网 IP 地址/域名泄漏、401 基础认证钓鱼、程序路径信任问题、无敏感信息的 logcat信息泄漏。
4. 内部存在审核机制的提交接口所涉及的 CSRF、越权提交等漏洞。
5. 无任何证据的猜测：包括但不仅限于纯属用户猜测的问题。
6. 内部已知漏洞，包括但不限于已在网络上公开的漏洞、内部安全人员已经发现的漏洞、已有其他白帽子优先提交的漏洞。

02 安全情报评分标准改变
更新业务情报接收范围及评分标准。详细变更内容如下：

（四）安全情报评分标准
安全情报是指哔哩哔哩的产品漏洞和业务相关的情报，包括但不限于漏洞线索、攻击线索、攻击者相关信息、攻击方式、攻击技术等（由于威胁情报分析调查的时间较长，因此确认周期相比漏洞的时长较长），主要包括漏洞情报和业务情报两大类。

1、漏洞情报评分规则
漏洞情报的综合评分（即情报经验值）由情报对应的威胁等级和情报完整度决定，漏洞情报评分对应（具体请看评分标准完整版）

2、业务情报评分规则
业务情报的经验与同等级漏洞经验相同，金币奖励约为同等级漏洞奖励的1/32) 业务情报1.提供哔哩哔哩产品批量恶意账号注册、有组织的进行薅羊毛等行为的关键线索
2.提供哔哩哔哩产品刷量/作弊行为的关键线索，如：提供刷粉、抓赞、刷播放量等违规服务的网站/工具等
3.提供哔哩哔哩产品挂机/自动化行为的关键线索，如：提供自动领取如直播间礼物等违规服务的网站/工具
4.提供哔哩哔哩视频下载行为的关键线索，如：提供哔哩哔哩版权视频/会员视频下载等违规服务的网站/工具
5.提供哔哩哔哩破解大会员行为的关键线索，如：提供破解版APP、破解大会员服务限制等违规服务的网站/工具
6.提供哔哩哔哩黑产交易行为的关键线索，如：提供非法买卖账号、刷点赞、出售等违规服务的网站/工具
7.提供哔哩哔哩产品相关盗播网站/盗版APP的关键线索，如：提供大量哔哩哔哩版权视频、直播等违规服务的网站/工具
8.提供哔哩哔哩产品相关爬虫行为的关键线索，如：提供并批量爬取哔哩哔哩网站/用户相关外露信息的网站/工具
9.提供哔哩哔哩游戏类作弊行为的关键线索，如：游戏外挂、练号打金

03通用规则及禁止行为更新
新增评分通用规则及禁止行为。详细变更内容如下：

（五）评分标准通用原则
1.对于非哔哩哔哩直接发布的产品和业务或事第三方应用威胁情报均不计分
2.通用型漏洞（如 discuz 等的漏洞以及由同一个漏洞源产生的多个漏洞）一般计漏洞数量为一个。例如 discuz 的 XSS 漏洞、同一个 JS 引起的多个 XSS 漏洞、同一个发布系统引起的多个页面的 XSS 漏洞、框架导致的整站 XSS/CSRF 漏洞、泛域名解析产生的多个 XSS 漏洞、同一域名下同一组件产生的多个 flash xss 漏洞等
3.对于第三方库（比如 libpng、zlib、libjpeg 等等）导致的客户端漏洞（包括 PC 和移动端），且可以通过升级或者更换第三方库可完成修复的漏洞，仅给首个漏洞报告者计分。同时，从获取首个漏洞的反馈时间到第三方首个修复版本发布时间的日期内，对于同一类漏洞均按一个漏洞计分，危害等级取危害最大的一个漏洞来评定
4.同一漏洞导致的多个利用点按照级别最高的奖励执行； 同一系统只收取前三个接口产生的同类型漏洞，此条款收取漏洞时限为3个月。（如：同个 JS 引起的多个 XSS 漏洞、同接口多参数xss漏洞/sql注入漏洞统一处理，同一个发布系统引起的多个页面的 XSS 漏洞、同一框架导致的整站问题等）
5.由于客户端漏洞审核本身比较复杂并且涉及到其它的开发部门，审核时间可能较 WEB漏洞长，有时可能由于报告者提供的漏洞细节不够详尽，导致 BILISRC 无法按原定时间内给出结论，请理解。因此请各位白帽子在反馈漏洞时提供 poc/exploit，并给出相应的漏洞分析细节，以加快管理员处理速度，对于 poc 或 exploit 未提供或者没有详细分析的漏洞提交将可能直接影响最终评分
6.同一条威胁情报，第一个报告者得分，其他报告者不得分
7.提交网上已公开的威胁情报不计分8.拒绝无实际危害证明的扫描器结果，具体参见
《哔哩哔哩安全应急响应中心白帽子协议》（https://security.bilibili.com/announcement/1/）

（六）严格禁止行为
1.以安全测试为借口，利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、恶意宣扬炒作、盗取用户数据等行为的均将不会计分
2.SQL注入漏洞禁止读取表内数据，只要证明可以读取数据就行。对于UPDATE、DELETE、INSERT 等注入类型，禁止使用自动化工具进行测试
3.越权漏洞禁止进行批量读取，越权读取的时候，允许读取到的真实数据部超过5组
4.测试XSS漏洞，证明危害即可，禁止进行获取其他用户cookie或用户信息等敏感操作
5.如果可以shell或者命令执行的，推荐上传一个文本证明，如纯文本的1.php、1.jsp等证明问题存在即可，禁止下载和读取服务器上任何源代码文件和敏感文件，禁止执行删除、写入命令，如果是上传的webshell，请写明shell文件地址和连接口令。
6.在测试未限制发送短信或邮件次数等扫号类漏洞，请使用自己的手机号或邮箱，禁止对其他用户进行轰炸测试
7.禁止进行物理测试、社会工程学测试或任何其他非技术手段测试
8.禁止进行内网渗透行为，如内网扫描、主机提权等行为
9.禁止进行可能引起业务异常运行的测试，例如：IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。
10.禁止保存、分享通过安全缺陷/问题/威胁情报获取到的数据信息（包括但不限于）：
a.禁止 Fork 、下载留存、分享 GIT 等途径泄露的信息文件（需在验证敏感性完成后及时进行删除操作）
b.禁止未经 BILISRC 官方允许，擅自对外公布所发现的安全缺陷/问题/威胁情报细节、展示其中包含的敏感数据内容

完整评分标准请点击：https://security.bilibili.com/static/docs/BILISRC_V1.4.pdf