你我贷安全响应中心介绍及安全积分评分标准 V1.2
发布时间:2017-11-08
来源:你我贷
一:NSRC介绍
你我贷安全响应中心(NSRC),是你我贷建立的信息安全问题的举报与反馈平台。我们希望通过此平台与各位同仁交流合作,欢迎信息安全专业人士及广大用户监督和反馈你我贷所有产品和业务上的信息安全问题。让我们共同打造一个安全、稳健的P2P网络借贷信息平台。
如果您对本流程有任何疑问或建议,欢迎与我们联系,联系方式:src@niwodai.net
二:NSRC基本原则
1.你我贷关注用户的安全体验,我们承诺对每一个安全意见都将有专人进行分析处理、并反馈处理结果。
2.你我贷对于遵守相关法律法规的基础上,积极维护你我贷平台安全的信息安全专业人士或用户,给与感谢与奖励。
3.你我贷反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏,损害用户利益的黑客行为,包括但不限于入侵业务系统、窃取损坏用户数据、恶意传播漏洞、利用安全漏洞敲诈勒索、隐瞒上传的木马后门等非法行为。
4.禁止使用消耗流量的攻击方式进行测试,包括但不限于DDOS,暴力破解,撞库,自动化工具扫描等。
5.禁止以漏洞测试为借口,非法登录你我贷用户账号,或后你我贷后台管理平台等侵犯数据安全的行为。
三:NSRC处理范围
2.你我贷对于遵守相关法律法规的基础上,积极维护你我贷平台安全的信息安全专业人士或用户,给与感谢与奖励。
3.你我贷反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏,损害用户利益的黑客行为,包括但不限于入侵业务系统、窃取损坏用户数据、恶意传播漏洞、利用安全漏洞敲诈勒索、隐瞒上传的木马后门等非法行为。
4.禁止使用消耗流量的攻击方式进行测试,包括但不限于DDOS,暴力破解,撞库,自动化工具扫描等。
5.禁止以漏洞测试为借口,非法登录你我贷用户账号,或后你我贷后台管理平台等侵犯数据安全的行为。
你我贷安全响应中心(NSRC)只接收和你我贷平台各业务系统有关的安全问题。
四:实施日期安全积分评分标准只适用于通过你我贷安全响应中心(NSRC)提交的信息。
本标准自2017年7月1日起正式实行。
五:报告与处理流程
1准备阶段
注册你我贷账号、阅读本标准相关信息、监督你我贷平台运行的安全状况。
2提交报告
如发现你我贷平台业务系统有信息安全方面的问题,可以通过本平台(http://www.niwodai.com/sec/index.do)进行提交。
3审核处理
你我贷技术中心安全团队会在5个工作日内,对提交的问题进行审核,并给出确认漏洞的等级和评分,用户可以在个人中心进行查看。 我们会跟据问题的危害等级在合适的时间时进行修复。请不要重复提交相同的问题。
如提交报告后,希望补充说明或对审核的结果存在疑问,请通过《申诉与复议》流程联系我们。
4获得奖励
提交的安全建议满足以下评分标准,我们会给于相应的安全积分。安全积分可以在礼品中心兑换礼品。
兑换前请在个人中心中填写收货地址。
六:安全积分评分标准注册你我贷账号、阅读本标准相关信息、监督你我贷平台运行的安全状况。
2提交报告
如发现你我贷平台业务系统有信息安全方面的问题,可以通过本平台(http://www.niwodai.com/sec/index.do)进行提交。
3审核处理
你我贷技术中心安全团队会在5个工作日内,对提交的问题进行审核,并给出确认漏洞的等级和评分,用户可以在个人中心进行查看。 我们会跟据问题的危害等级在合适的时间时进行修复。请不要重复提交相同的问题。
如提交报告后,希望补充说明或对审核的结果存在疑问,请通过《申诉与复议》流程联系我们。
4获得奖励
提交的安全建议满足以下评分标准,我们会给于相应的安全积分。安全积分可以在礼品中心兑换礼品。
兑换前请在个人中心中填写收货地址。
安全积分=系统的重要等级*报告的风险等级,评分如下:
系统的重要等级分类如下:
▼核心业务系统:
你我贷平台系统:www.niwodai.com、member.niwodai.com、m.niwodai.com
你我贷借款APP下载:http://www.niwodai.com/event.mhtml?&artId=3800000794998139
你我贷出借APP下载:http://www.niwodai.com/index.do?method=ac&artId=3800000395842909
▼一般业务系统:
【无】
▼非核心系统:
【无】
报告安全漏洞的风险等级分类如下(技术类):
【严重】
1.直接获取系统权限的漏洞。包括但不仅限于命令执行、代码执行、获取Webshell、SQL注入获取系统权限、缓冲区溢出。
2.直接导致业务拒绝服务的漏洞。包括但不仅限于利用漏洞或业务逻辑漏洞直接导致系统业务不可用(DDOS除外)。
3.严重的敏感信息泄漏。包括但不仅限于核心 DB(用户隐私信息等) 的 SQL 注入,可获取大量核心用户的隐私信息、银行卡信息等接口问题引起的敏感信息泄露。
4.其他造成重大经济损失的系统漏洞。
【高危】
1.敏感信息泄漏。包括但不仅限于遍历导致大量敏感数据泄露、非核心DB
SQL注入、源代码压缩包泄漏、硬编码密码等问题引起的敏感信息泄露。
2.越权控制缺陷。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息、账号越权修改其他账号的重要信息。
3.直接获取移动客户端权限。包括但不仅限于远程命令执行、任意代码执行。
4.大范围影响用户的漏洞。包括但不仅限于可被大量用户执行的存储型XSS、批量修改任意帐号密码漏洞等。
5.其他造成有限经济损失的系统漏洞。
【中危】
1.需要用户交互才会产生影响的漏洞。包括但不仅限于一般页面的存储型XSS。
2.普通越权操作。包括但不仅限于不正确的直接对象引用、越权查看少量敏感信息、越权查看少量用户身份信息等。
3.普通信息泄漏。包括但不仅限于客户端明文存储密码、系统路径遍历。
4.普通的逻辑设计缺陷和流程缺陷等,会造成的一定危害的漏洞,但危害程度有限。
【低危】 1.只能造成轻微影响的漏洞,反射型XSS(包括反射型DOM-XSS)、普通 CSRF、URL跳转漏洞。例如:CRLF漏洞、URL跳转等。
2.轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN信息泄漏、异常信息泄露等、目录浏览。
3.难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点。
4.危害较小的逻辑设计缺陷、流程缺陷。
5.本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务。
【无】
1.不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。
2.无法利用的漏洞。非敏感操作的 CSRF或CSRF操作中包含难于推测的ID、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。
3.无证具充分证实的漏洞。
报告威胁情报的风险等级分类如下(情报类):
【严重】
服务器、数据库被成功入侵的相关证据或线索。
业务流程存在设计缺陷,导致可能被羊毛党等利用,并可以造成严重经济损失。
【高危】
业务功能存在缺陷,将导致业务不能正常进行或经济损失的线索。
公司未公开的重要业务敏感信息泄漏的相关证据或线索。
业务流程存在设计缺陷,导致可能被羊毛党等利用,并可以造成经济损失。
【中危】
公司业务功能存在脆弱性环节,可能造成一定经济损失的漏洞。
【低危】
假冒本公司主页或者钓鱼网站的相关证据或线索。
※注意事项:
1.如果多人重复提交相同页面的安全问题,最早提交者有效。
2.不同页面中,相同的功能(URL相同)产生的问题,属于相同的问题。
3.由同一个安全漏洞,而产生的多个漏洞时,按产生问题的根源计分。
4.根据安全漏洞利用的难易程度、业务影响等因素“风险等级”可能会有调整,比如:存在越权问题,但识别ID难以推测;对业务安全或信息安全没有产生影响的问题等。
5.提交“技术类报告”时,需要有充分的问题点描述和重现证明,第三方工具或在线平台的扫描结果不能直接作为漏洞证明。
6.提交“情报类报告”时,需要有充分的证具证实问题存在。如证具不充分,我们内部排查又不能发现问题存在时,“风险等级”可能会有调整。
7.有关信息泄露的问题需证实是可以危害到客户隐私安全的非公开信息。如果泄露的是正常浏览网站可以收集到的信息、或由于征信需要而局部公开的信息、或不一定构成客户隐私安全的私密信息,此类问题不作为安全问题。
8.提交在网上已经公开的漏洞、第三方平台或其他SRC平台提交的漏洞不计分。
|
|
严重 | 高危 | 中危 | 低危 | 无 |
| 核心业务系统 | 1000 | 700 | 300 | 100 | 0 |
| 一般业务系统 | 500 | 350 | 150 | 50 | 0 |
| 非核心系统 | 300 | 200 | 100 | 30 | 0 |
▼核心业务系统:
你我贷平台系统:www.niwodai.com、member.niwodai.com、m.niwodai.com
你我贷借款APP下载:http://www.niwodai.com/event.mhtml?&artId=3800000794998139
你我贷出借APP下载:http://www.niwodai.com/index.do?method=ac&artId=3800000395842909
▼一般业务系统:
【无】
▼非核心系统:
【无】
报告安全漏洞的风险等级分类如下(技术类):
【严重】
1.直接获取系统权限的漏洞。包括但不仅限于命令执行、代码执行、获取Webshell、SQL注入获取系统权限、缓冲区溢出。
2.直接导致业务拒绝服务的漏洞。包括但不仅限于利用漏洞或业务逻辑漏洞直接导致系统业务不可用(DDOS除外)。
3.严重的敏感信息泄漏。包括但不仅限于核心 DB(用户隐私信息等) 的 SQL 注入,可获取大量核心用户的隐私信息、银行卡信息等接口问题引起的敏感信息泄露。
4.其他造成重大经济损失的系统漏洞。
【高危】
1.敏感信息泄漏。包括但不仅限于遍历导致大量敏感数据泄露、非核心DB
SQL注入、源代码压缩包泄漏、硬编码密码等问题引起的敏感信息泄露。
2.越权控制缺陷。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息、账号越权修改其他账号的重要信息。
3.直接获取移动客户端权限。包括但不仅限于远程命令执行、任意代码执行。
4.大范围影响用户的漏洞。包括但不仅限于可被大量用户执行的存储型XSS、批量修改任意帐号密码漏洞等。
5.其他造成有限经济损失的系统漏洞。
【中危】
1.需要用户交互才会产生影响的漏洞。包括但不仅限于一般页面的存储型XSS。
2.普通越权操作。包括但不仅限于不正确的直接对象引用、越权查看少量敏感信息、越权查看少量用户身份信息等。
3.普通信息泄漏。包括但不仅限于客户端明文存储密码、系统路径遍历。
4.普通的逻辑设计缺陷和流程缺陷等,会造成的一定危害的漏洞,但危害程度有限。
【低危】 1.只能造成轻微影响的漏洞,反射型XSS(包括反射型DOM-XSS)、普通 CSRF、URL跳转漏洞。例如:CRLF漏洞、URL跳转等。
2.轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN信息泄漏、异常信息泄露等、目录浏览。
3.难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点。
4.危害较小的逻辑设计缺陷、流程缺陷。
5.本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务。
【无】
1.不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。
2.无法利用的漏洞。非敏感操作的 CSRF或CSRF操作中包含难于推测的ID、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。
3.无证具充分证实的漏洞。
报告威胁情报的风险等级分类如下(情报类):
【严重】
服务器、数据库被成功入侵的相关证据或线索。
业务流程存在设计缺陷,导致可能被羊毛党等利用,并可以造成严重经济损失。
【高危】
业务功能存在缺陷,将导致业务不能正常进行或经济损失的线索。
公司未公开的重要业务敏感信息泄漏的相关证据或线索。
业务流程存在设计缺陷,导致可能被羊毛党等利用,并可以造成经济损失。
【中危】
公司业务功能存在脆弱性环节,可能造成一定经济损失的漏洞。
【低危】
假冒本公司主页或者钓鱼网站的相关证据或线索。
※注意事项:
1.如果多人重复提交相同页面的安全问题,最早提交者有效。
2.不同页面中,相同的功能(URL相同)产生的问题,属于相同的问题。
3.由同一个安全漏洞,而产生的多个漏洞时,按产生问题的根源计分。
4.根据安全漏洞利用的难易程度、业务影响等因素“风险等级”可能会有调整,比如:存在越权问题,但识别ID难以推测;对业务安全或信息安全没有产生影响的问题等。
5.提交“技术类报告”时,需要有充分的问题点描述和重现证明,第三方工具或在线平台的扫描结果不能直接作为漏洞证明。
6.提交“情报类报告”时,需要有充分的证具证实问题存在。如证具不充分,我们内部排查又不能发现问题存在时,“风险等级”可能会有调整。
7.有关信息泄露的问题需证实是可以危害到客户隐私安全的非公开信息。如果泄露的是正常浏览网站可以收集到的信息、或由于征信需要而局部公开的信息、或不一定构成客户隐私安全的私密信息,此类问题不作为安全问题。
8.提交在网上已经公开的漏洞、第三方平台或其他SRC平台提交的漏洞不计分。
本标准最终解释权归你我贷所有。
NSRC微信公众号