BOSS直聘SRC漏洞处理标准V1.1

发布日期:2021-06-25

分享

漏洞处理流程和评分标准



编写人 BOSS直聘安全应急响应中心(BSSRC)
版本号 1.1
最后更新日期 2021-6-25


适用范围

本标准适用于BOSS直聘安全漏洞平台(https://src.zhipin.com/)所收到的所有漏洞。

 

实施日期

本标准更新于 2021 年 6 月 25 日起施行。

 

版本信息

有效版本V1.1 2021-6-25 发布第二版。
BOSS直聘安全应急响应中心(以下简称BSSRC)将定期对本标准进行评估,并根据评估结果进行调整。版本更新情况我们将通过BSSRC公告发布。


BSSRC基本原则

1. BSSRC对于每个白帽子提交的漏洞,将有专门的安全人员进行评估和跟踪,并承诺及时反馈处理结果。
2. BSSRC希望广大白帽子发现BOSS直聘相关业务漏洞时,及时提交漏洞,帮助我们维护系统安全性,我们会针对漏洞级别给予相应的积分奖励;对于白帽子提交的特别有价值的漏洞,我们更将给予额外奖励。
3. BSSRC反对并谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害BOSS直聘业务系统以及用户利益的攻击行为,如有此行为我们将保留追究法律责任的权利。



一、 漏洞反馈及处理流程


1) 漏洞提交后一个工作日内,BSSRC工作人员会确认收到的漏洞报告,并开始评估问题;
2) 漏洞提交后三个工作日内,BSSRC工作人员针漏洞问题进行处理、给出结论并计入贡献值(必要时会与报告者沟通确认,请报告者予以协助);
3) 业务部门修复报告中所反馈的漏洞并安排更新上线;
4) 修复时间根据漏洞的严重程度及修复难度而定。一般来说,严重漏洞 1 个工作日内修复,高危漏洞 5 个工作日内修复,中危漏洞 7 个工作日内修复,低危漏洞 10 个工作日内修复;客户端安全问题受版本发布限制,修复时间根据实际情况确定;
5) 漏洞报告者可登录BSSRC复查安全问题是否修复成功,若发现已修复漏洞仍可利用,可联系处理人员,平台将追加额外奖励。

 

 

二、 测试范围


测试范围:BOSS直聘的产品和业务,域名包括但不限于*.zhipin.com、*.kanzhun.com、*.dianzhangzhipin.com、*.bosszhipin.com;服务器包括BOSS直聘运营的服务器;产品包括BOSS直聘发布的PC端网站、客户端产品、小程序等。

应用类型划分:
1) 核心应用:BOSS直聘、店长直聘、看准网的官网、APP、小程序;
2) 一般应用:其它属于BOSS直聘公司的业务。


 

三、 有效漏洞奖励标准

 
针对漏洞提交及确认有效的贡献者,BSSRC将给予贡献者基础奖励;我们将采用安全币作为漏洞奖励,按照漏洞的重要性及等级来计算安全币。

 

3.1、贡献值奖励范围参考



3.2、贡献值与安全币的对应关系

1) 安全币=贡献值*10(后期根据实际情况调整系数);
2) 安全币可在平台上的虚拟市场兑换礼品。

 

3.3、其它奖励

1) 特殊奖励
特别重大的漏洞,平台会有特殊奖励;
2) 其它奖励
除常规奖励及特殊漏洞奖励外,BSSRC定期会开展特别活动,如贡献值排行榜奖励、节假日福利等活动,具体规则将在活动前期进行公告,敬请关注BSSRC官方平台。



四、 漏洞评级评分标准


根据漏洞危害程度将评级分为严重、高危、中危、低危、忽略,共五个等级,每个等级对应不同的基础积分范围。其中涉及测试环境的系统在下述等级中自动降低一级评分。
以下标准仅作为参考,漏洞的最终评分会按照漏洞的影响范围、实际利用难度、报告的详细程度、复测过程中上报者的配合程度等多维度综合评分,BOSS直聘安全应急响应中心拥有最终解释权。

 

4.1、严重

1) 直接获取核心系统权限的漏洞。包括但不限于远程任意命令执行、代码执行、上传webshell 、SQL注入获取系统权限、缓冲区溢出等。
2) 严重的敏感信息泄漏。包括但不仅限于核心DB的SQL注入、可获取大量核心用户的身份信息、简历文件、商业订单信息的逻辑漏洞等问题。
3) 直接导致严重影响的逻辑漏洞。包括但不限于可直接造成重大损失的支付漏洞、伪造核心应用账号给任意用户发送可完全自定义内容的消息、任意帐号密码更改漏洞。如果漏洞利用时仅可弹出骚扰无法指定可阅读的内容,则不适用于定级为严重漏洞。

 

4.2、高危

1) 直接获取一般系统权限的漏洞。包括但不限于远程任意命令执行、代码执行、上传webshell 、SQL注入获取系统权限、缓冲区溢出等。
2) 重要的未授权访问操作,包括但不限于绕过认证直接访问含有敏感信息的管理后台操作、重要业务含有敏感信息的未授权访问、重要业务后台弱口令且业务中有实际操作权限、增删改查任意用户信息等较为重要的越权行为、可直接获取大量内网敏感信息的SSRF(不得对内网扫描)。
3) 重要活动的业务逻辑漏洞,包括但不限于刷直豆、刷道具等,通过漏洞确实可直接获取较高利益或能给公司带来大量经济损失的漏洞。

 

4.3、中危

1) 需交互才能获取用户身份信息的漏洞。包括但不限于存储型 XSS、核心业务重要敏感操作的 CSRF。
2) 普通越权操作。包括但不仅限于可查询其它少量用户数据的越权操作。
3) 本地任意代码执行。包括但不限于本地可利用的堆栈溢出、UAF、double free、format string、本地提权(从普通用户升到 Administrator 或 System 且客户端产品为默认设置)、文件关联的 DLL 劫持(不包括以下几种情况:加载不存在的 DLL文件、加载正常 DLL未校验合法性、需要管理员权限操作、需要用户大量交互以及基于KnownDLLs 缺陷所导致的DLL劫持等)以及其它逻辑问题导致的本地代码执行漏洞。

 

4.4、低危

1) 只在特定非流行浏览器环境下(如小于 IE11 的浏览器等)才能获取用户身份信息的漏洞。包括但不限于存储型 XSS、反射型 XSS、DOM-XSS等。
2) 轻微信息泄漏漏洞。包括但不限于 Github 泄露的非敏感系统源码及密码、SVN文件泄漏、phpinfo、logcat敏感信息泄漏。
3) PC客户端及移动客户端会影响用户正常使用场景的本地拒绝服务漏洞。包括但不限于组件权限导致的本地拒绝服务漏洞。
4) URL跳转。包括但不限于zhipin.com、kanzhun.com、dianzhangzhipin.com、bosszhipin.com 等重要子域名下的URL 跳转漏洞,需证明可直接跳转。
5) 能直接访问BOSS直聘内网但无回显的 SSRF 漏洞。
6) 难以利用但又可能存在安全隐患的问题。包括但不限于可能引起传播和利用的 Self-XSS、非核心业务重要操作的 CSRF以及需借助中间人攻击的远程代码执行漏洞,并提供有效PoC。
7) 对任意指定用户或手机号无限制的短信轰炸(参考标准:30 条/单手机号/分钟)。


4.5、无效

1) 无关安全的bug。包括但不限于网页乱码、网页无法打开、某功能无法使用。
2) 无法利用的“漏洞”。包括但不限于没有实际意义的扫描器漏洞报告(如 Web Server 的低版本)、Self-XSS、无敏感信息的 JSON Hijacking、无敏感操作的 CSRF(如收藏、非重要业务的订阅、非重要业务的普通个人资料修改等)、无意义的源码泄漏、内网 IP 地址/域名泄漏、401 基础认证钓鱼、程序路径信任问题、无敏感信息的 logcat 信息泄漏、明文传输。
3) 无任何证据的猜测。包括但不限于自己账号被盗就表示有漏洞。
4) 运营预期之内或无法造成资金损失的问题。包括但不限于可使用多个账号领取小额奖励的正常业务活动。
5) APP端无实际危害的问题。如:APP端未加壳、通用组件问题等。
6) 其他BOSS直聘认为可忽略的问题。


 

五、 奖励发放原则


1) 奖品使用安全币(BSSRC 安全应急响应中心平台上的一种虚拟货币)兑换,除非特别声明,未使用的安全币不会过期。
2) 电子礼品卡审核通过后次月月初发放。如因报告者未能完善资料导致的延误,将顺延至下个批次处理。


 
六、 补充说明及注意事项

1) 白帽子在漏洞提交及处理过程中,如果对流程处理、漏洞定级、漏洞评分等有异议的可在BSSRC对应漏洞后留言或者联系我们的工作人员。
2) BSSRC尊重每位白帽子的付出,将根据漏洞报告者利益优先的原则进行处理,我们会安排安全工程师对争议进行沟通,必要时可引入外部人士共同裁定。
3) 如果同一漏洞由多位漏洞报告者提交,在进行奖励时,我们会以最先提交者为唯一受奖励者。


 

七、 争议解决办法

漏洞处理过程中,如有漏洞报告这对处理流程、评分等级具有异议的,可直接通过以下渠道进行反馈:
邮 箱:secure@kanzhun.com
公众号:BOSS直聘安全应急响应中心
QQ群:881642604


最终解释权归BOSS直聘安全应急响应中心所有
BOSS Security Response Center
2021 年 6 月