BILISRC 漏洞处理和评分标准 V1.3

公告日期:2020-10-13


2019-09-28 评分标准:个别中、低危评分更新

url跳转、反射型XSS变为低危漏洞,不再接收需构造部分参数的CSRF。

【中危】经验值 3~5 / 安全币 30~100
  1. 需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS、敏感信息的 JSONP 劫持、重要操作CSRF。
  2. 普通越权操作。包括但不仅限于不正确的直接对象引用。影响业务运行的Broadcast消息伪造等Android组件权限漏洞等。
  3. 普通信息泄漏。包括但不仅限于客户端明文存储密码、客户端密码明文传输以及web路径遍历、系统路径遍历。
  4. 远程拒绝服务漏洞。包括但不仅限于客户端远程拒绝服务(解析文件格式、网络协议产生的崩溃),由 Android 组件权限暴露、普通应用权限引起的问题等(默认配置情况下)。
  5. 普通的逻辑设计缺陷和流程缺陷。
【低危】经验值 1~2 / 安全币 10~20
  1. 本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),由 Android 组件权限暴露、普通应用权限引起的问题等(默认配置情况下)。
  2. 轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN信息泄漏、PHPinfo、异常信息泄露,以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息、异常信息等。
  3. 难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、可引起传播和能够利用的Self-XSS、URL 跳转、反射型 XSS 漏洞。

2019-09-28 更新安全情报评分标准

新增情报完整度和威胁等级说明,安全情报评分由情报对应的威胁等级和情报完整度决定。

威胁情报是指哔哩哔哩的产品和业务漏洞相关的情报,包括但不限于漏洞线索、攻击线索、攻击者相关信息、攻击方式、攻击技术等(由于威胁情报分析调查的时间较长,因此确认周期相比漏洞的时长较长)。

1、安全情报评分规则

情报的综合评分(即情报经验值)由情报对应的威胁等级和情报完整度决定:
情报评分对应表:

2、威胁等级说明
  • 【严重】 本等级包括:对核心业务、系统、办公网络造成重大影响,或对哔哩哔哩公司造成大量资金损失的威胁情报。如主站某服务器被上传webshell。
  • 【高危】 本等级包括:对核心业务、系统、办公网络造成较大影响,或对哔哩哔哩公司造成较大资金损失的威胁情报。如利用其他站点泄露的他人账号密码在哔哩哔哩成功登录窃取大量账号。
  • 【中危】 本等级包括:对核心业务、系统、办公网络造成一定影响,或对哔哩哔哩公司造成一定资金损失的威胁情报。如因业务规则问题导致被一定量恶意用户利用的刷量行为。
  • 【低危】 本等级包括: 对业务、系统、办公网络造成轻微影响的威胁情报。如伪冒哔哩哔哩的钓鱼网站,盗版APP等。
3、情报收取范围
1)安全情报
  1. 提供野外被利用的未知漏洞相关线索
  2. 服务器或办公网被入侵且提供了入侵行为方式等相关线索
  3. 重要业务数据库被拖取且提供了数据库名或数据库文件等相关线索
  4. 支付业务逻辑漏洞利用、业务流程绕过等关键线索
  5. 蠕虫传播且提供了蠕虫传播的链接等相关线索
  6. 用户身份信息大规模被窃取且提供了攻击代码等相关线索
  7. 能通过技术手段或其他手段影响排序机制的工具、方法等,需要有相关例子作为证明
  8. 能够帮助完善防御系统,新型攻击方式、技术等提供详细分析
2) 业务情报

1.提供哔哩哔哩产品批量恶意账号注册、有组织的进行薅羊毛等行为的关键线索
2.提供泄露哔哩哔哩内部信息、用户数据等行为的关键线索,网盘、GitHub 等第三方分享或泄露哔哩哔哩相关敏感文件、重要数据等
3.提供哔哩哔哩产品刷量行为的关键线索,如:关注、分享、点赞、评论、阅读量、播放量等
4.提供哔哩哔哩直播类作弊行为的关键线索,如:刷人气、抢红包等
5.提供哔哩哔哩支付类作弊行为的关键线索,如:苹果 IOS 代退款
6.提供哔哩哔哩游戏类作弊行为的关键线索,如:游戏外挂、练号打金

3)无效情报

无效情报是指错误、无意义或根据现有信息无法调查利用的威胁情报,例如:
1. 上报虚假捏造或人为制造情报信息的
2. 上报通过社工等手段诱导客服进行相关操作的
3. 上报可能刷量、引流的 QQ 群号,且未提供其他有效信息的
4. 上报已发现或失效情报的
5. 上报情报中未包含攻击路径和攻击方法说明或表述不清,逻辑不通

4、情报完整度

提交威胁情报时,应包含所提交情报场景所对应的关键线索,以便审核人员验证、追踪。情报报告中的各项线索得分累计,作为情报的的完整性评分。 完整性评分越高,情报的完整度越高。情报中应当包含的线索以及各项线索的权重如下表说明:

情报完整度对应表:

注意:攻击路径、攻击方法是必要线索,提交情报时如未包含其中任何一项,平台将不予审核。故情报完整性得分最低为 2 分。

详情链接:https://security.bilibili.com/static/docs/BILISRC_V1.3.pdf