处理阶段
- 一个工作日内,LBTC安全团队会确认收到的威胁情报报告并跟进开始评估问题, 同时将情报反馈给 LBTC对接人(状态:审核中)
- 三到十个工作日内,LBTC技术团队处理问题、给出结论并计分(状态:已确认/已忽略)。必要时会与报告者沟通确认,请报告者予以协助
Bug评级及奖励标准
| 等级 | LBTC 奖励 |
|---|---|
| Blocker | 50-88 LBTC |
| Critical | 30-50 LBTC |
| Major | 10-20 LBTC |
| Minor | 2-5 LBTC |
1、Blocker即系统无法执行、崩溃或严重资源不足、应用模块无法启动或异常退出、无法测试、造成系统不稳定。
- 严重花屏
- 内存泄漏
- 用户数据丢失或破坏
- 系统崩溃/死机/冻结
- 模块无法启动或异常退出
- 严重的数值计算错误
- 功能设计与需求严重不符
- 其它导致无法测试的错误, 如服务器500错误
2、Critical 即影响系统功能或操作,主要功能存在严重缺陷,但不会影响到系统稳定性。
- 功能未实现
- 功能错误
- 系统刷新错误
- 数据通讯错误
- 轻微的数值计算错误
- 影响功能及界面的错误字或拼写错误
- 安全性问题
3、Major 即界面、性能缺陷、兼容性。
- 操作界面错误(包括数据窗口内列名定义、含义是否一致)
- 边界条件下错误
- 提示信息错误(包括未给出信息、信息提示错误等)
- 长时间操作无进度提示
- 系统未优化(性能问题)
- 光标跳转设置不好,鼠标(光标)定位错误
- 兼容性问题
4、Minor 即易用性及建议性问题。
- 界面格式等不规范
- 辅助说明描述不清楚
- 操作时未给用户提示
- 可输入区域和只读区域没有明显的区分标志
- 个别不影响产品理解的错别字
- 文字排列不整齐等一些小问题
漏洞评级及奖励标准
| 等级 | LBTC 奖励 |
|---|---|
| 严重 | 90-100 LBTC |
| 高危 | 60-80 LBTC |
| 中危 | 20-50 LBTC |
| 低危 | 5-10 LBTC |
*备注:最终发放的奖励取决于漏洞严重程度和漏洞真实影响,表格中的数值为各等级最高奖励,严重漏洞奖励会以发放前一日 LBTC/BTC 价格以 LBTC 的形式发放。
1、严重漏洞
严重的漏洞是指,发生在核心系统业务系统(核心控制系统、域控、业务分发系统、堡垒机等可管理大量系统的管控系统),可造成大面积影响的,获取大量(依据实际情况酌情限定)业务系统控制权限,获取核心系统管理人员权限并且可控制核心系统。
包括但不限于:
- 内网多台机器控制
- 核心后台超级管理员权限获取且造成大范围企业核心数据泄露,可造成巨大影响
- 智能合约溢出、条件竞争漏洞
2、高危漏洞
- 系统的权限获得(getshell、命令执行等)
- 系统的 SQL 注入(后台漏洞降级,打包提交酌情提升)
- 敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、重要后台弱密码、获取大量内网敏感信息的 SSRF 等)
- 任意⽂件读取
- 可获取任意信息的 XXE 漏洞
- 涉及金钱的越权操作、支付逻辑绕过(需最终利用成功)
- 严重的逻辑设计缺陷和流程缺陷。包括但不仅限于任意用户登录漏洞、批量修改任意账号密码漏洞、涉及企业核心业务的逻辑漏洞等,验证码爆破除外
- 大范围影响用户的其他漏洞。包括但不仅限于重要页面可自动传播的存储型 XSS、可获取管理员认证信息且成功利用的存储型 XSS 等
- 大量源代码泄露
- 智能合约权限控制缺陷
中危漏洞
- 需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型 XSS,涉及核心业务的 CSRF 等
- 普通越权操作。包括但不限于绕过限制修改用户资料、执行用户操作等
- 拒绝服务漏洞。包括但不限于导致网站应用拒绝服务等造成影响的远程拒绝服务漏洞等
- 由验证码逻辑导致任意账户登陆、任意密码找回等系统敏感操作可被爆破成功造成的漏洞
- 本地保存的敏感认证密钥信息泄露,需能做出有效利用
3、低危漏洞
- 本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),由 Android 组件权限暴露、普通应用权限引起的问题等
- 普通信息泄露。包括但不限于 Web 路径遍历、系统路径遍历、目录浏览等
- 反射型 XSS(包括 DOM XSS / Flash XSS)
- 普通 CSRF
- URL 跳转漏洞
- 短信炸弹、邮件炸弹(每个系统只收一个此类型漏洞)
- 其他危害较低、不能证明危害的漏洞(如无法获取到敏感信息的 CORS 漏洞)
- 无回显的且没有深入利用成功的 SSRF
此处参考了 先知漏洞定级标准 ,在此表示感谢。