BILISRC 漏洞处理和评分标准 V1.2

（四）威胁情报评分标准

威胁情报是指哔哩哔哩的产品和业务漏洞相关的情报，包括但不限于漏洞线索、攻击线索、攻击者相关信息、攻击方式、攻击技术等（由于威胁情报分析调查的时间较长，因此确认周期相比漏洞的时长较长），接收范围如下：

    1.提供野外被利用的未知漏洞相关线索
    2.服务器或办公网被入侵且提供了入侵行为方式等相关线索
    3.重要业务数据库被拖取且提供了数据库名或数据库文件等相关线索
    4.蠕虫传播且提供了蠕虫传播的链接等相关线索
    5.用户身份信息大规模被窃取且提供了攻击代码等相关线索
    6.能通过技术手段或其他手段影响排序机制的工具、方法等，需要有相关例子作为证明
    7.更多根据业务情况进行判断存在较大影响的安全线索

无效的威胁情报范围：
    1.炒信的信息，且未提供具体有效内容的
    2.通过社工等手段诱导客服进行相关操作的
    3.虚假、捏造或人为制造情报信息
    4.已发现或失效情报的

（六）严格禁止行为

1.以安全测试为借口，利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、恶意宣扬炒作、盗取用户数据等行为的均将不会计分
2.禁止利用安全缺陷/问题/威胁情报获取大量敏感数据（包括但不限于）：
    a.账号类数据：获取50条以上账号信息或者用户私人信息
    b.订单类数据：获取50条以上包含公民信息的敏感字段
    c.数据库数据：获取50条以上数据库表字段内容
3.禁止在测试过程中影响业务正常运行（包括但不限于）：
    a.执行操作可直接影响主机/网站文件，例如 rm mv 篡改ssh authorized_keys等
    b.直接写入大量脏数据影响业务正常用户使用的
    c.直接在主机/网站中植入恶意后门、木马、挖矿、DDoS 等文件的
4.禁止保存、分享通过安全缺陷/问题/威胁情报获取到的数据信息（包括但不限于）：
    a.禁止 Fork 、下载留存、分享 GIT 等途径泄露的信息文件（需在验证敏感性完成后及时进行删除操作）
    b.禁止未经 BILISRC 官方允许，擅自对外公布所发现的安全缺陷/问题/威胁情报细节、展示其中包含的敏感数据内容
5.发现在测试中存在以上严格禁止行为的相关处置方法：
    a.第一次，涉及的安全缺陷/问题/威胁情报将不计分
    b.第二次，除不计分外涉及的白帽子账号（积分冻结）三个月
    c.第三次，除不计分外涉及的白帽子账号（积分冻结）六个月
    d.超过三次，除不计分外涉及的白帽子账号积分做归零处置
6.特别注意：对于恶意利用安全缺陷/问题/威胁情报，窃取敏感数据、影响业务正常运行等违规操作，除上述第五点处置外，哔哩哔哩安全将依照法律法规，对此类行为进行惩处

- 【严重】经验值 9~10 / 安全币 500~1000
- 【高危】经验值 6~8 / 安全币 200~400
- 【中危】经验值 3~5 / 安全币 30~100
- 【低危】经验值 1~2 / 安全币 10~20
- 【无效】经验值 0 / 安全币 0