XLSRC漏洞处理流程和评分标准V1.2

编写人 迅雷安全应急响应中心（XLSRC）
版本号 1.2
最后更新日期2021.10.27

适用范围
本标准适用于迅雷安全漏洞平台（https://security.xunlei.com/）所收到的所有漏洞。

实施日期
本标准于2021年10月27日起施行
运营时间：2021.10.27-2021.12.30

XLSRC基本原则
1. XLSRC对于每个白帽子提交的漏洞，将有专门的安全人员进行评估和跟踪，并承诺及时反馈处理结果。
2. XLSRC希望广大白帽子发现迅雷相关业务漏洞时，及时提交漏洞，帮助我们维护系统安全性，我们会针对漏洞级别给予相应的积分奖励；对于白帽子提交的特别有价值的漏洞，我们更将给予额外奖励。
3. XLSRC反对并谴责一切以漏洞测试为借口，利用安全漏洞进行破坏、损害迅雷业务系统以及用户利益的攻击行为，如有此行为我们将保留追究法律责任的权利。

一、 漏洞反馈及处理流程
1)漏洞提交后一个工作日内，XLSRC工作人员会确认收到的漏洞报告，并开始确认漏洞等级；
2)漏洞提交后三个工作日内，XLSRC工作人员针漏洞问题进行处理、给出结论并计入贡献值（必要时会与报告者沟通确认，请报告者予以协助)；
3)业务部门修复报告中所反馈的漏洞并安排更新上线；
4)修复时间根据漏洞的严重程度及修复难度而定。一般来说，严重漏洞 1 个工作日内修复，高危漏洞 5 个工作日内修复，中危漏洞 7 个工作日内修复，低危漏洞 10 个工作日内修复；客户端安全问题受版本发布限制，修复时间根据实际情况确定；
5)漏洞报告者可登录XLSRC复查安全问题是否修复成功，若发现已修复漏洞仍可利用，可联系处理人员，平台将追加额外奖励。

二、 业务范围

三、 有效漏洞奖励标准
针对漏洞提交及确认有效的贡献者，XLSRC将给予贡献者基础奖励。我们将采用安全币作为漏洞奖励，按照漏洞的重要性及等级来计算安全币。
3.1、迅雷贡献值奖励范围参考
计算公式：单个漏洞贡献值（安全币） = 积分 * 贡献系数

1安全币=10rmb 所以对应的现金奖励如下

3.3、其它奖励
1) 特殊奖励
特别重大的漏洞，平台会有特殊奖励；
2) 其它奖励
除常规奖励及特殊漏洞奖励外，XLSRC定期会开展特别活动，如贡献值排行榜奖励、节假日福利等活动，具体规则将在活动前期进行公告，敬请关注XLSRC官方平台。

四、 漏洞评级评分标准
根据漏洞危害程度将评级分为严重、高危、中危、低危、无效，共五个等级，每个等级对应不同的基础积分范围。其中涉及测试环境的系统在下述等级中自动降低一级评分。
以下标准仅作为参考，漏洞的最终评分会按照漏洞的影响范围、实际利用难度、报告的详细程度、复测过程中上报者的配合程度等多维度综合评分，XLSRC安全应急响应中心拥有最终解释权。
4.1、严重
1) 直接获取核心系统权限的漏洞(核心服务器权限、PC客户端权限)。包括但不限于远程任意命令执行、代码执行、上传webshell 、SQL注入获取系统权限、缓冲区溢出等。
2) 严重的敏感信息泄漏。包括但不仅限于核心DB的SQL注入、可获取大量核心用户的身份信息、用户订单信息的逻辑漏洞等问题。
3) 核心系统中严重的逻辑设计缺陷和流程缺陷，能够大量获取利益，造成用户损失的漏洞，包括但不仅限于任意账号购买迅雷会员，任意账号查看迅雷云盘存储内容，任意账号重置密码。
4.2、高危
1) 属于严重级别中所描述的漏洞类型，但是产生在非核心系统中的漏洞（例如非核心系统的远程任意命令执行、可 dump 出数据的 SQL 注入)、以及移动端 App 命令执行类漏洞（例如 Android WebView 远程代码执行漏洞)。
2) 敏感信息越权访问(包括但不仅限于绕过认证直接访问管理后台、重要后台弱密码、获取大量内网敏感信息的SSRF等。
3）敏感任意文件读取。
4) 重要活动的业务逻辑漏洞，包括但不限于0元购买会员等，通过漏洞确实可直接获取较高利益或能给公司带来大量经济损失的漏洞。
4.3、中危
1) 需交互才能获取用户身份信息的漏洞。包括但不限于存储型 XSS
2) 普通越权操作。包括但不仅限于可查询其它少量用户数据的越权操作。
3) 本地任意代码执行。包括但不限于本地可利用的堆栈溢出、UAF、double free、format string、本地提权(从普通用户升到 Administrator 或 System 且客户端产品为默认设置)、文件关联的 DLL 劫持（不包括以下几种情况：加载不存在的 DLL文件、加载正常 DLL未校验合法性、需要管理员权限操作、需要用户大量交互以及基于KnownDLLs 缺陷所导致的DLL劫持等）以及其它逻辑问题导致的本地代码执行漏洞。
4)xml注入。
4.4、低危
1) 只在特定非流行浏览器环境下（如小于 IE11 的浏览器等）才能获取用户身份信息的漏洞。包括但不限于存储型 XSS、反射型 XSS、DOM-XSS等。
2) 轻微信息泄漏漏洞。包括但不限于 Github 泄露的非敏感系统源码及密码、SVN文件泄漏、phpinfo、logcat敏感信息泄漏。
3) PC客户端及移动客户端会影响用户正常使用场景的本地拒绝服务漏洞。包括但不限于组件权限导致的本地拒绝服务漏洞。
4) URL跳转。包括但不限于xunlei.com等重要子域名下的URL 跳转漏洞，需证明可直接跳转。
5) 能直接访问迅雷内网但无回显的 SSRF 漏洞。
6) 难以利用但又可能存在安全隐患的问题。包括但不限于可能引起传播和利用的 Self-XSS、非核心业务重要操作的 CSRF以及需借助中间人攻击的远程代码执行漏洞，并提供有效PoC。
7) 对任意指定用户或手机号无限制的短信轰炸（参考标准：30 条/单手机号/分钟)。

4.5、无效
1)无关安全的“bug”。包括但不限于网页乱码、网页无法打开、某功能无法使用。
2)无法利用的“漏洞”。包括但不限于没有实际意义的扫描器漏洞报告（如 Web Server 的低版本）、Self-XSS、无敏感信息的 JSON Hijacking、无敏感操作的 CSRF(如收藏、非重要业务的订阅、非重要业务的普通个人资料修改等)、无意义的源码泄漏、内网 IP 地址/域名泄漏、401 基础认证钓鱼、程序路径信任问题、无敏感信息的 logcat 信息泄漏、明文传输。
3)无任何证据的猜测。包括但不限于自己账号被盗就表示有漏洞。
4)运营预期之内或无法造成资金损失的问题。包括但不限于可使用多个账号领取小额奖励的正常业务活动。
5)APP端无实际危害的问题。如：APP端未加壳、通用组件问题等。
6)其他XLSRC认为可忽略的问题。

五、 奖励发放原则
1) 奖品使用安全币（XLSRC 安全应急响应中心平台上的一种虚拟货币）兑换，除非特别声明，未使用的安全币不会过期。

六、 补充说明及注意事项
1) 白帽子在漏洞提交及处理过程中，如果对流程处理、漏洞定级、漏洞评分等有异议的可在XLSRC对应漏洞后留言或者联系我们的工作人员。
2) XLSRC尊重每位白帽子的付出，将根据漏洞报告者利益优先的原则进行处理，我们会安排安全工程师对争议进行沟通，必要时可引入外部人士共同裁定。
3) 如果同一漏洞由多位漏洞报告者提交，在进行奖励时，我们会以最先提交者为唯一受奖励者。
4) 未修复和已修复的漏洞需征得XLSRC同意后方可公开分享，禁止传播安全漏洞的任何细节信息。

七、 争议解决办法
漏洞处理过程中，如有漏洞报告这对处理流程、评分等级具有异议的，可直接通过以下渠道进行反馈：
邮 箱：security@xunlei.com
公众号：迅雷安全应急响应中心