BILISRC 漏洞处理和评分标准V1.6版本发布

2025-09-30 更新安全漏洞评分标准
更新安全漏洞评估说明、严重/高/中/低危漏洞定义、降级场景和测试时的禁止行为。

三、安全漏洞评分标准
安全漏洞的危害等级会根据业务重要等级、技术维度评分准则、漏洞评估说明等综合因素进行评定。

3、漏洞评估说明
1)对于非哔哩哔哩直接发布的产品和业务或是第三方应用威胁情报均不计分。
2)同一个漏洞源产生的多个漏洞一般计漏洞数量为一个。例如 discuz 的安全漏洞、同一个JS引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、泛域名解析产生的多个安全漏洞、同一系统同一组件产生的多个安全漏洞、修复一个漏洞其他漏洞也会自动被修复的漏洞、框架导致的整站安全漏洞、同接口多个参数的相同类型漏洞、提权漏洞所引发的多个问题、由某一配置/模版/全局功能引起的多个问题、同一功能的越权增删改查等等。此类问题请合并提交到一个漏洞报告中，按危害程度最高的风险计分，若提交多个，只有第一个获取奖励，其他做忽略处理。
3)同一系统同一类型/利用手段相似的多个漏洞，只收取前三个。如：同一系统的不同接口SQL注入、同一系统的多个弱口令/密码泄露问题等。
4)对于第三方组件漏洞，
a. 如果提交相关基础组件nday漏洞，提交的漏洞已公开，时间在半年内且B站已知晓该漏洞，则忽略/驳回，不予记分；若B站不知晓该漏洞，或者该漏洞公开时间已超过半年，B站仍未修复，会根据实际攻击演示效果来评估定级，需提供nday具体链接及CVE编号，并且至少需提供可利用证明（如poc能证明造成信息泄露、获取机器权限等）
b. 如果提交相关基础组件0day漏洞，且提供了可利用证明（如poc能证明造成信息泄露、获取机器权限等）会根据实际攻击演示效果来评估定级。
同时，从获取首个漏洞的反馈时间到第三方首个修复版本发布时间的日期内，对于同一类漏洞均按一个漏洞计分，危害等级取危害最大的一个漏洞来评定。
5)由于客户端漏洞审核本身比较复杂并且涉及到其它的开发部门，审核时间可能较 WEB漏洞长，有时可能由于报告中提供的漏洞细节不够详尽，导致 BILISRC 无法按原定时间给出结论，请理解。因此请各位白帽子在反馈漏洞时提供 poc/exploit，可作为txt附件发送至邮箱security@bilibili.com，注明漏洞编号，并给出详细的漏洞分析细节，以加快审核人员处理速度，对于 poc 或 exploit 未提供或者没有详细分析的漏洞提交将可能直接影响最终评分。
6)同一条漏洞/情报，第一个提交报告且报告内容详细并真实有效的得分，其他报告不得分。若超过六个月未修复，根据漏洞实际影响重新定级。白帽如果主动要求忽略漏洞重新提交，可能在下次提交前会有其他人提交该漏洞，需要自行承担重复风险。
7)提交网上已公开的情报不计分。
8)在漏洞未修复前，被公开的漏洞不计分，若泄露了漏洞细节，BILISRC有权收回奖励。
9)提交漏洞时请确认是否对业务有真正影响，并提交实际产生危害的证明。对于间接危害和猜测危害在漏洞评估定级时不予考虑。
10)拒绝无实际危害证明的扫描器结果。
【降级场景】
1)无法稳定复现的漏洞。
2)标题和内容严重不符的信息，漏洞信息不准确，根据情节做漏洞或情报降级/忽略处理。
3)报告中缺少关键因素（文字描述、图片证明、测试过程、风险接口和参数等）的报告视情况做降级/忽略处理。
4)影响范围非常小的系统或业务，对业务无实际影响的测试数据、运维监控数据等。
5)业务预期内的资损问题、风险可控的问题将做降级/忽略处理。
6)部分环节与其他漏洞重复的漏洞
7)有利用复杂度、或者需要特殊账号权限、或者需要交互利用、或者需要爆破难度较大字段的漏洞将做降级/忽略处理。

4、漏洞详细定义
根据漏洞的危害程度将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【忽略】五个等级。每个漏洞基础经验值最高为10，由 BILISRC 结合业务重要等级、技术维度评分准则、漏洞评估说明等综合因素给予相应分值的经验值、安全币和漏洞定级。

每种等级包含的评分标准及漏洞类型如下：
【严重】经验值 9~10 / 安全币 1000~1200
1)直接获取核心系统权限的漏洞（服务器权限、PC客户端权限）。包括但不仅限于远程命令执行、任意代码执行、上传获取 Webshell、SQL注入获取系统可执行权限、缓冲区溢出。
2)泄露10w条以上可遍历的重要敏感信息。包括但不仅限于核心 DB（资金、身份、交易相关）利用难度低的SQL 注入、无需身份权限和前置条件可获取核心用户的重要数据（需满足明文三要素）。
3)主站账号相关的严重逻辑设计缺陷和流程缺陷。包括但不仅限于不依赖任何用户交互批量修改核心系统帐号密码、不依赖任何用户交互获取主站任意账号登录及操作权限。
4)核心支付业务相关的严重逻辑设计缺陷和流程缺陷。包括但不仅限于通过核心业务接口无限制任意账号资金消费（需要影响他人）、利用难度低可以大量获取利益造成公司或用户损失的核心支付交易流程漏洞。

【高危】经验值 6~8 / 安全币 300~600
1)直接获取一般系统权限的漏洞。包括但不仅限于远程命令执行、任意代码执行等。
2)大量可遍历的重要敏感信息泄漏。包括但不仅限于非核心DB利用难度低的SQL注入、核心DB（资金、身份、交易相关）利用难度高的SQL注入、服务器应用加密可逆或明文、移动API访问摘要、硬编码等问题引起的公司及业务大量敏感信息泄露风险、可获得重要数据操作权限的漏洞。
3)核心业务敏感信息越权操作。包括但不仅限于绕过认证直接访问管理后台、核心业务未授权访问、核心业务后台弱密码、增删改查任意用户敏感信息或状态等核心交互的越权行为、获取大量内网敏感信息的SSRF。（禁止利用SSRF进行内网渗透测试或其他有害行为，证明SSRF存在并且有回显即可）
4)无需交互/利用难度低的重要系统敏感信息越权操作。包括但不仅限于账号越权修改重要信息、进行订单重要操作、重要业务配置修改等较为重要的越权行为。
5)大范围影响用户的其他漏洞。包括但不仅限于核心系统重要页面无需交互（如主站首页、分区首页、直播间首页）可获取cookie的存储型XSS（包括存储型DOM-XSS）和涉及交易、资金、密码的CSRF。
6)核心业务的逻辑漏洞，包括但不限于对公司和用户造成非直接经济损失或损失有限的漏洞、需要特定身份或条件才能利用的或只影响小范围用户的核心业务漏洞。

【中危】经验值 3~5 / 安全币 30~100
1)需交互或其他前置条件才能影响用户的漏洞。包括但不仅限于一般页面的存储型XSS、不存在盗号风险的存储XSS、敏感信息的 JSONP 劫持、重要操作（如支付类操作、修改个人账号敏感信息类操作）的CSRF。
2)非核心业务数据库SQL注入、少量敏感数据或无重要敏感数据的SQL注入、可造成信息泄露或其他危害的本地数据库注入。
3)可攻击管理后台的 XSS 类攻击（需提供前台攻击位置，定位风险）
4)普通越权操作。包括但不仅限于越权查询/操作用户非敏感信息、影响数据量有限或者敏感程度有限的越权操作、需要交互或利用难度高的越权操作等。
5)普通信息泄漏。包括但不仅限于包含敏感信息的完整源代码泄露、系统日志泄露、客户端明文存储密码、客户端密码明文传输以及web路径遍历、系统路径遍历。
6)客户端远程临时性拒绝服务漏洞。包括但不仅限于解析文件格式、网络协议产生的崩溃，由 Android 组件权限暴露、普通应用权限引起的问题等（默认配置情况下）。
7)普通的逻辑设计缺陷和流程缺陷，包括优惠券/优惠资格使用限制绕过、可绕过限制使用一部分高级服务/获取优惠、对经济价值影响较小的漏洞等。
8)通内网有回显但无太多敏感信息的SSRF。

【低危】经验值 1~2 / 安全币 10~20
1)本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务（解析文件格式、网络协议产生的崩溃），由 Android 组件权限暴露、普通应用权限引起的问题等（默认配置情况下）。
2)轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN信息泄漏、PHPinfo、异常信息泄露，以及客户端应用本地SQL注入（仅泄漏数据库名称、字段名、cache内容）、日志打印、配置信息、异常信息等。
3)利用场景有限的漏洞，包括但不限于短信、邮箱炸弹，URL跳转等。
4)难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、可引起传播和能够利用的Self-XSS、URL 跳转、反射型 XSS 漏洞。
5)攻击门槛较高、无敏感信息、非重要功能的越权。
6)不涉及业务核心功能或重要敏感信息的增删改查等越权问题。
7)利用成本高、变现困难、影响范围小等业务损失有限的漏洞。
8)难以利用但存在安全隐患的漏洞，包括但不限于难以利用的SQL注入点。

【忽略】经验值 0 / 安全币 0
1)提交的报告书写过于简单（如报告未指明业务路径、未证明漏洞危害），无法根据报告内容复现，包括但不限于和漏洞审核员反复沟通均无法复现的漏洞。
2)非B站研发/运维的第三方供应商漏洞不收取，如第三方提供维护的小程序、站点、服务器、系统等。
3)正在专项排查中漏洞不收取，如某系统、某类型漏洞内部进行统一专项治理时不收取，具体以审核人员回复为准。
4)不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性、弹幕无法显示等问题。
5)无法利用（或利用条件苛刻）的“漏洞”或无危害的“漏洞”。包括但不限于没有实际意义的扫描器漏洞报告（如 Web Server 的低版本）、Self-XSS、无敏感信息的 JSON Hijacking、无敏感操作的 CSRF (如添加购物车、非重要业务的订阅、非重要业务的普通个人资料修改等)、无意义的源码泄漏、内网 IP 地址/域名泄漏、401 基础认证钓鱼、程序路径信任问题、无敏感信息的信息泄漏、无法影响他人的越权。
6)内部存在审核机制的提交接口所涉及的 CSRF、越权提交等漏洞。
7)无任何证据的猜测：包括但不仅限于纯属用户猜测的问题。未提供成功案例，无法完整复现、未经验证、无意义的扫描报告等问题。对于间接危害和猜测危害在漏洞评估定级时不予考虑。
8)符合业务预期的产品设计。
9)非最新版本官方APP的安全漏洞。
10)内部已知漏洞，包括但不限于已在网络上公开的漏洞、内部安全人员已经发现的漏洞、已有其他白帽子优先提交的漏洞。

四、严格禁止行为
1.对漏洞/情报评级、流程处理、奖励发放等有异议的，可以通过漏洞详情页面的留言板、安全应急响应中心邮箱security@bilibili.com 进行沟通。漏洞利用细节详实、理智友好沟通是解决问题的前提，对于捏造事实、恶意诋毁平台或言语攻击、辱骂平台工作人员、影响公司业务正常运行、越过或破坏处理流程、情绪性控诉施压并发动传播、影响哔哩哔哩声誉的行为，一经做出我们将不予发放奖励，已发放的奖励有权收回，同时封禁内部账号，保留进一步内部处理和追究法律责任的权利。
2.以安全测试为借口，利用漏洞/情报信息进行损害正常用户权益、影响业务正常运作、修复前公开、恶意宣扬炒作、捏造事实诋毁攻击、盗取用户数据、以漏洞作为要挟或进行贿赂等行为的均将不会计分。敏感操作请自备测试账号，不得影响线上正常用户账号。
3.未经授权不得对外披露漏洞/情报细节，包括但不限于传播、讨论漏洞/情报信息，或利用漏洞非法获利。补充漏洞详情可在BILISRC官网重新提交，或发送至邮箱security@bilibili.com，注明漏洞编号，poc/exploit/js脚本或复现录屏可作为附件发送（邮件仅收取txt、mp4后缀附件），禁止使用第三方平台存储漏洞相关信息。
4.SQL注入漏洞禁止读取表内数据，只要证明可以读取数据就行。对于UPDATE、DELETE、INSERT 等注入类型，禁止使用自动化工具进行测试。
5.越权漏洞禁止进行批量读取，越权读取的时候，允许读取到的真实数据不超过5组。请自备测试账号，增删改操作不得涉及和影响线上正常用户账号。
6.在测试未限制发送短信或邮件次数等扫号类漏洞，请使用自己的手机号或邮箱，禁止对其他用户进行轰炸测试。
7.公司内部员工可依照《内部员工提交漏洞规范》通过内部漏洞提交平台进行提交，并领取相应奖励。禁止在不告知的情况下通过本人或朋友从BILISRC官网进行提交，如经发现将不予发放奖励，已发放的奖励有权收回，同时封禁内部账号，保留进一步内部处理的权利。
8.测试XSS漏洞，证明危害即可，禁止进行获取其他用户cookie或用户信息等敏感操作。
9.如果外网服务器可以shell或者命令执行的，推荐上传一个文本证明，如纯文本的1.php、1.jsp等证明问题存在即可，禁止下载和读取服务器上任何源代码文件和敏感文件，禁止执行删除、写入命令，如果是上传的webshell，请写明上传的所有shell文件地址和连接口令。
10.禁止进行内网渗透行为，如内网扫描、横向探测、主机提权、获取内网应用/主机权限/数据等行为
11.禁止进行近源攻击、物理入侵、社会工程学测试或邮件钓鱼等任何其他非技术手段测试，并禁止使用社工库等非法手段获取用户密码。
12.禁止进行可能引起业务异常运行的测试，例如：IIS的拒绝服务等可导致拒绝服务的漏洞测试、DDOS攻击及通过软件和工具自动扫描产生大量数据流量的行为。
13.禁止利用平台漏洞发布任何违反平台规定或法律法规的文字、图片、视频，具体参见《哔哩哔哩安全应急响应中心白帽子协议》。
14.禁止下载、保存、分享通过安全缺陷/问题/威胁情报获取到的数据信息（包括但不限于）：
a.禁止 Fork 、下载留存、分享 GIT 等途径泄露的代码、数据、信息文件（需在SRC漏洞处理后立即进行删除操作）。
b.禁止留存、分享业务相关的敏感数据、用户资料、登录凭证等。
c.禁止未经 BILISRC 官方允许，擅自对外公布所发现的安全缺陷/问题/威胁情报细节、展示其中包含的敏感数据内容。
15.禁止影响线上真实业务和用户账号、数据，或引起客诉事件。
16.请将所有测试操作和行为及时、如实、完整上报，禁止故意瞒报、漏报。
17.AK/SK泄露信息严禁自行深入业务验证危害。
18.发现在测试中存在以上严格禁止行为的相关处置方法：
a.取消单个漏洞/情报奖励，追回已发放的奖励
b.平台账号封禁
19.特别注意：对于上述情节严重行为以及恶意利用安全缺陷/问题/威胁情报，窃取敏感数据、影响业务正常运行、损害用户权限、影响哔哩哔哩声誉的行为等违规操作，哔哩哔哩安全将依照法律法规，对此类行为进行追究。

完整评分标准请点击：https://security.bilibili.com/announcement/28/