BiliSRC

哔哩哔哩威胁情报主要包含三大部分的内容:自身业务的漏洞、通用软件漏洞及安全情报。下面我们将分别描述其评分标准。

业务漏洞评分标准

根据漏洞危害程度分为严重、高、中、低、无五个等级,每个等级评分如下:

分值范围 9-10,奖品价约1024元

直接获取权限的漏洞(服务器权限、重要产品客户端权限)。包括但不限于远程任意命令执行、上传 webshell、可利用远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、可利用浏览器 use after free 漏洞、可利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞

直接导致严重的信息泄漏漏洞。包括但不限于帐号系统 DB 的 SQL 注入漏洞,用户等

分值范围 6-8,奖品价约值512元

能直接盗取用户身份信息的漏洞。包括重要业务(如帐号中心,敏感管理后台)的重点页面的存储型 XSS 漏洞,普通站点的 SQL 注入漏洞

越权访问。包括但不限于敏感管理后台登录

高风险的信息泄漏漏洞。包括但不限于可直接利用的敏感数据泄漏

直接获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出、可利 用的 ActiveX 堆栈溢出、浏览器 use after free 漏洞、远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行漏洞

可获取敏感信息或者执行敏感操作的重要客户端产品的 XSS 漏洞(关于重要客户端产品参见后面说明)

可获取敏感信息或者执行敏感操作的 SSRF 漏洞

分值范围 3-5。奖品价值约256元

需交互才能获取用户身份信息的漏洞。包括但不限于反射型 XSS(包括反射型 DOM-XSS)、JSON Hijacking、重要敏感操作的 CSRF、普通业务的存储型XSS

远程应用拒绝服务漏洞、敏感信息泄露、远程拒绝服务漏洞、可获取敏感信息或者执行敏感操作的客户端产品的 XSS 漏洞

普通信息泄漏漏洞。包括但不限于客户端明文存储密码、密码明文传输、包含敏感信息的源代码压缩包泄漏

值范围 1-2。奖品价值约64元

只在特定非流行浏览器环境下(如 IE6 等)才能获取用户身份信息的漏洞。包括但不限 于反射型 XSS(包括反射型 DOM-XSS)、普通业务的存储型 XSS 等。

轻微信息泄漏漏洞。包括但不限于管理后台对外开放、SVN 文件泄漏、phpinfo、logcat 敏感信息泄漏

越权访问。包括但不限于URL跳转,非敏感操作的CSRF(需借助中间人攻击的远程代码执行漏洞并提供了有效 Poc)

难以利用但又可能存在安全隐患的问题。包括但不限于可能引起传播和利用的 Self-XSS

分值范围 0

无关安全的 bug。包括但不限于网页乱码、网页无法打开、弹幕变大了、B站炸了等

无法利用的“漏洞”。包括但不限于没有实际意义的扫描器漏洞报告(如 Web Server 的 低版本)、Self-XSS、无敏感信息的 JSON Hijacking、无敏感操作的 CSRF(如收藏、添加购物车、非重要业务的订阅、非重要业务的普通个人资料修改等)、无意义的源码泄漏、 内网 IP 地址/域名泄漏、401 基础认证钓鱼、程序路径信任问题、无敏感信息的 logcat 信息泄漏

无任何证据的猜测。包括但不限于自己帐号被盗就表示有漏洞

非哔哩哔哩业务漏洞

安全情报评分标准

安全情报是指哔哩哔哩的产品和业务漏洞相关的情报,包括但不限于漏洞线索、攻击线索、攻击者相关信息、攻击方式、攻击技术等。根据危害及情报提供情况详细评分标准如下表:

评分标准通用原则

01 评分标准仅针对对哔哩哔哩产品和业务有影响的威胁情报。
域名包括但不限于*.bilibili.com、*.biligame.com、*.hdslb.com,服务器包括哔哩哔哩运营的服务器,产品为哔哩哔哩发布的客户端产品。
对哔哩哔哩业务安全无影响的威胁情报,不计分。

02 重要客户端产品是指哔哩哔哩IOS及安卓客户端、哔哩哔哩直播姬IOS及安卓客户端;
另外,由于业务调整,不再更新的客户端产品(包括但不限于哔哩哔哩纯白版等)将不予计分,原则上也不会修复。

03 由于客户端漏洞审核本身比较复杂并且涉及到其它的开发部门,审核时间可能较 WEB 漏洞长,有时可能由于报告者提供的漏洞细节不够详尽,导致 BiliSRC 无法按原定时间内给出结论,请各位白帽子理解。
因此请各位白帽子在反馈漏洞时提供 poc/exploit,并提供相应的漏洞分析,以加快管理员处理速度,对于有poc 或 exploit 提供或者有详细分析的漏洞提交将会提高评分。

04 如果同一时间周期内提交同一客户端的多个漏洞,请报告者在反馈漏洞时明确给出导致漏洞和触发漏洞的关键代码,以帮助快速确认是否为相同漏洞,加快漏洞确认时间。

05 威胁情报报告者复查安全问题时如果发现安全问题3个月内仍然存在或未修复好,当作新威胁情报继续计分。

06 同一条威胁情报,第一个报告者得分,其他报告者不得分;
提交网上已公开的威胁情报不计分。

07 对于非哔哩哔哩直接发布的产品和业务(如哔哩哔哩mac客户端、win10客户端),均不计分。

08 拒绝无实际危害证明的扫描器结果。

09 以安全测试为借口,利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的,将不会计分,同时哔哩哔哩保留采取进一步法律行动的权利。

奖励发放原则