公告编号:智联招聘安全应急响应中心(ZPSRC)安全漏洞处理标准V2.0作者:ZPSRC发布日期:2022-03-11 16:46:12
智联招聘安全应急响应中心(ZPSRC),作为智联招聘与白帽子之间的交流平台,非常欢迎广大白帽子向我们反馈智联招聘网站的安全漏洞及威胁情报,以帮助我们不断地提升和完善自身安全性,共建安全健康的互联网环境。
实施日期
本规范自发布之日起实行
基本原则
ZPSRC对于每一个漏洞,都有专门的安全人员进行评估和跟踪,并且会及时反馈处理结果。同时,在漏洞修复之前不要公开和传播漏洞。
ZPSRC希望广大白帽子发现智联招聘相关业务的漏洞来保护我们用户的利益、提升网站安全性,对于特别有价值的漏洞,我们会给予额外奖励。
ZPSRC反对并谴责一切以漏洞测试为借口,并且利用安全漏洞进行破坏,损坏智联招聘系统及用户等利益的攻击行为,我们保留追究法律责任的权利。
漏洞反馈和处理流程
提交漏洞:漏洞送报者可以通过ZPSRC平台注册并提交漏洞,也可以发送邮件到src@zhaopin.com.cn,请在邮件主题注明“漏洞提交”,包括漏洞的利用条件、方法及复现过,方便审核人员审核漏洞确认奖励
漏洞处理流程:我们会在2个工作日内开始处理白帽子提交的漏洞信息,5个工作日内完成漏洞的确认、评级和确认奖励。
漏洞奖励规则
智联招聘采用漏洞积分作为漏洞奖励,按资产的重要性及漏洞的影响来计算每个漏洞的积分(1积分=10RMB):
核心业务:招聘主站、招聘企业端、智联招聘app
一般业务:其他*.zhaopin.com资产
注:智联招聘旗下子公司、peixun.zhaopin.com、etsm.zhaopin.com暂不收取,请白帽子关注其他业务安全
不同的安全漏洞和威胁情报,积分奖励不同,具体见表1-1:
严重 | 高危 | 中危 | 低危 | |
核心应用 | 150~300 | 50~150 | 20~50 | 5~20 |
非核心应用 | 50~100 | 25~50 | 10~25 | 1~10 |
漏洞严重性分级
【严重】150~300积分
1、直接获取系统权限的漏洞。包括但不仅限于利用命令执行、代码执行、植入Webshell、SQL注入获取系统权限、缓冲区溢出等各类可以获取系统权限的漏洞。
2、直接导致业务系统拒绝服务的漏洞。包括但不仅限于利用漏洞或业务逻辑漏洞直接导致系统业务不可用。
3、严重的敏感信息泄漏。包括但不仅限于核心 DB(资金、订单、用户身份、简历内容) 的 SQL 注入,可获取大量核心用户的身份信息、订单信息、简历信息等接口问题引起的敏感信息泄露。
4、严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号投递简历、任意账号资金消费、批量修改任意帐号密码漏洞。
【高危】50~150积分
1、敏感信息泄漏。包括但不仅限于遍历导致大量敏感数据泄露、非核心DB SQL注入、源代码压缩包泄漏、硬编码密码等问题引起的敏感信息泄露。
2、敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台以达到修改大量前台信息的权限的目的,或利用后台弱密码获取大量内网敏感信息。
3、直接获取移动客户端权限。包括但不仅限于远程命令执行、任意代码执行。
4、越权敏感操作。包括但不仅限于账号越权修改重要信息(如简历)、重要业务配置修改等较为重要的越权行为。
5、大范围影响用户的其他漏洞。涉及交易、资金、密码。
6、任意文件读取,删除,创建。
【中危】20~50积分
1、需交互方可影响用户的漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS(包括存储型DOM-XSS)。
2、普通越权操作。包括但不仅限于不正确的直接对象引用。影响业务运行的Broadcast消息伪造等Android组件权限漏洞等。
3、普通信息泄漏。包括但不仅限于客户端明文存储密码、客户端密码明文传输以及web路径遍历、系统路径遍历。
【低危】5~20积分
1、需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS、反射型 XSS、重要操作CSRF。
2、轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN信息泄漏、PHPinfo、异常信息泄露,以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息、异常信息等。
3、难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、可引起传播和利用的Self-XSS、需构造部分参数且有一定影响的CSRF、URL跳转漏洞。
4、影响有限的设计缺陷和流程缺陷。
5、普通的逻辑设计缺陷和流程缺陷,如短信验证码重放攻击。(需有1分钟超过30条以上的短信证明截图)
【无危害】0积分
1、不涉及安全问题的BUG。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。
2、无法利用的漏洞。Self型XSS、无敏感操作的CSRF、无意义的异常信息泄露、内网IP地址/域名泄露、无敏感信息越权访问、401基础认证钓鱼。
3、不能直接反映漏洞存在的问题。包括但不限于纯属用户猜测的问题。
安全情报评分标准
【严重】
对于核心业务、办公网络的入侵情报,核心产品的漏洞情报等。
重大0Day漏洞情报。
最新的大量简历信息泄露。
【高危】
能够帮助完善产品提供新型攻击方式、技巧、绕过限制等。
用户相关敏感信息泄露
【中危】
新型的攻击技术或方法
产品运维问题
【低危】
1、威胁组织基础信息。
例如:包括但不限于威胁组织相关人员、架构、规模、地域、活动情况等信息、交流及销售渠道、使用的工具和平台、造成的相关影响、行业动态等;
2、低风险业务安全问题。如恶意注册,恶意群发邮件等;
3、针对智联招聘的APT攻击情报;
4、舆情舆论。
【无效情报】
无效情报是指错误、无意义或根据现有信息无法调查利用的威胁情报
审核通用原则
1、标准评分仅适用于智联招聘相关产品和对内对外业务系统、可威胁到智联招聘产品和业务相关的情报。与智联招聘无关的漏洞和情报不计贡献;
2、第三方产品漏洞只给第一个提交者计算贡献,不同版本的同一处漏洞视为相同漏洞;
3、一个漏洞源导致的多个漏洞算一个漏洞;
4、各等级漏洞的奖励由利用难度以及影响范围等因素综合评定,若触发条件苛刻,包括但不限于特定浏览器才能触发的xss漏洞,可进行降级处理;
5、同一漏洞或情报首位报告者计算奖励,其他报告者不计,由于情报的时效性,报告已知或已失效的情报不计分;
6、已公开的漏洞或情报不记贡献;由一个漏洞产生的内部大规模排查解决过程中提交的相关漏洞,评分减半。存在刷洞嫌疑的不进行奖励;
7、人为自行制造安全威胁或安全事件情报的不计分,涉及到智联招聘的所有漏洞和情报在智联招聘主动公开前公开给除智联招聘授权的任何人,均不计分,同时智联招聘将保留采取进一步法律行动的权利;
8、白帽子如果主动要求忽略漏洞重新提交,可能在下次提交前会有其他人提交该漏洞,需要自行承担重复风险;
9、若漏洞同源或重复,审核人员会统一在漏洞评论处给出编号,方便对相似漏洞进行溯源、归类;
禁止行为
1、漏洞禁止传播
2、测试漏洞仅限证明性测试,严禁破坏性测试,若无意中造成危害,应及时报告,同时测试中进行的敏感操作,例如删除,修改等操作,请在报告中说明。
3、禁止使用扫描器进行大规模扫描,造成业务系统或网络不可用则按相关法律处理。
4、测试漏洞的应尽量避免直接修改页面、重复弹框(xss验证建议使用log)、盗取cookie、获取其他用户信息等攻击性较强的payload(如果是测试盲打,请使用dnslog)。如不慎使用了攻击性较强的payload,请及时删除,否则ZPSRC有权追究责任。
争议解决办法
漏洞处理过程中,如果漏洞报告者对处理流程、评级评分具有异议的,请通过邮件发送至src@zhaopin.com.cn进行反馈,ZPSRC将根据漏洞报告者利益优先的原则进行处理。
操作成功!