Bitget外部威胁情报处理标准
Bitget全球站用户:
以下是Bitget外部威胁情报处理标准,请认真阅读。
适用范围
本流程适用于Bitget安全响应中心([email protected])所收到的所有情报。
实施日期
本文档自发布之日起实行。
基本原则
1. Bitget非常重视自身产品和业务的安全问题,我们承诺,对每一位报告者反馈的问题都有专人进行跟进、分析和处理,并及时给予答复。
2. Bitget支持负责任的漏洞披露和处理过程,我们承诺,对于每位恪守白帽子精神,保护用户利益,帮助Bitget提升安全质量的用户,我们将给予感谢和回馈。
3. Bitget反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞等。
4. Bitget反对和谴责一切利用安全漏洞恐吓用户、攻击竞争对手的行为。
5. Bitget认为每个安全漏洞的处理和整个安全行业的进步,都离不开各方的共同合作。希望企业、安全公司、安全组织、安全研究者一起加入到“负责任的漏洞披露”过程中来, 一起为建设安全健康的互联网而努力。
威胁情报反馈与处理流程
[ 报告阶段 ]
威胁情报报告者通过Bitget威胁情报接收邮箱([email protected])反馈威胁情报。
[ 处理阶段 ]
1. 一个工作日内,Bitget安全应急响应中心(以下简称 BGSRC)工作人员会确认收到的威胁情报报告并跟进开始评估问题(状态:审核中)。
2. 三个工作日内,BGSRC工作人员处理问题、给出结论并计分(状态:已确认/已忽略)。必要时会与报告者沟通确认,请报告者予以协助。
[ 修复阶段 ]
1. 业务部门修复威胁情报中反馈的安全问题并安排更新上线(状态:已修复)。修复时间根据问题的严重程度及修复难度而定,一般来说,严重和高风险问题 24小时内,中风险三个工作日内,低风险七个工作日内。客户端安全问题受版本发布限制,修复时间根据实际情况确定。
2. 威胁情报报告者复查安全问题是否修复(状态:已复查/复查异议)。
[ 完成阶段 ]
1. BGSRC每月第一周内,发布上月威胁情报处理公告,向上月的威胁情报报告者致谢并公布威胁情报处理情况;严重或重大影响威胁情报会单独发布紧急安全公告。
2. 威胁情报报告者可以使用积分兑换安全币,通过安全币置换现金或现价对等的平台货币,置换完成后,BGSRC为威胁情报报告者发出奖励;同时不定期也会有奖励及线下活动。
威胁情报评分标准
Bitget威胁情报主要包含内容:自身业务的漏洞及安全情报。下面我们将分别描述其评分标准。
业务漏洞评分标准
根据漏洞危害程度分为严重、高、中、低、无五个等级,每个等级评分如下:
[ 严 重 ]
分值范围 9-10,安全币 1080~1200。
本等级包括:
1. 直接获取权限的漏洞(服务器权限、重要产品客户端权限)。包括但不限于远程任意命令执行、上传 webshell、可利用远程缓冲区溢出、可利用的 ActiveX堆栈溢出、可利用浏览器 use after free 漏洞、可利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞。
2. 直接导致严重的信息泄漏漏洞。包括但不限于重要 DB的 SQL 注入漏洞。
3. 直接导致严重影响的逻辑漏洞。包括但不限于伪造任意ID发送消息漏洞, 伪造任意ID弹任意 TIPS给任意用户漏洞,任意帐号密码更改漏洞。
[ 高 ]
分值范围 6-8,安全币 360~480(兑换安全币系数:Web/服务器 60 ; PC 客户端/移动终端 60 )
本等级包括:
1. 能直接盗取用户身份信息的漏洞。包括重要业务(如bitget主站)的重点页面的存储型XSS漏洞、普通站点的 SQL 注入漏洞。
2. 越权访问。包括但不限于敏感管理后台登录。
3. 高风险的信息泄漏漏洞。包括但不限于可直接利用的敏感数据泄漏。
4. 本地任意代码执行。包括但不限于本地可利用的堆栈溢出、UAF、doublefree、format string、本地提权、文件关联的 DLL 劫持(不包括加载不存在的DLL 文件及加载正常D LL 未校验合法性)以及其它逻辑问题导致的本地代码执行漏洞。
5. 直接获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出、可利用的 ActiveX堆栈溢出、浏览器 use after free 漏洞、远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行漏洞。
6. 可获取敏感信息或者执行敏感操作的重要客户端产品的 XSS漏洞。
[ 中 ]
分值范围 3-5,安全币 45~75(兑换安全币系数:Web/服务器 15 ; PC 客户端/移动终端 15 )
等级包括:
1. 需交互才能获取用户身份信息的漏洞。包括但不限于反射型 XSS(包括反射型 DOM-X SS)、JSONHijacking、重要敏感操作的 CSRF、普通业务的存储型 XSS
2. 远程应用拒绝服务漏洞、敏感信息泄露、内核拒绝服务漏洞、可获取敏感信息或者执行敏感操作的客户端产品的 XSS漏洞
3. 普通信息泄漏漏洞。包括但不限于客户端明文存储密码、包含敏感信息的源代码压缩包泄漏
[ 低 ]
分值范围 1-2,安全币 9~18(兑换安全币系数:Web/服务器 9 ; PC 客户端/移动终端 9 )
本等级包括:
1. 只在特定非流行浏览器环境下(如 IE6等)才能获取用户身份信息的漏洞。包括但不限于反射型XSS(包括反射型DOM-XSS)、普通业务的存储型 XSS 等。
2. 轻微信息泄漏漏洞。包括但不限于路径泄漏、SVN文件泄漏、phpinfo、logcat敏感信息泄漏。
3. PC客户端及移动客户端本地拒绝服务漏洞。包括但不限于组件权限导致的本地拒绝服务漏洞。
4. 越权访问。包括但不限于绕过客户端主动防御,Bitget URL跳转漏洞、绕过Bitget恶意网址检测机制的第三方 URL 跳转(注:跳转到正常网站的不属于跳转漏洞)。
5. 难以利用但又可能存在安全隐患的问题。包括但不限于可能引起传播和利用的 Self-XS S、非重要的敏感操作 CSRF以及需借助中间人攻击的远程代码执行漏洞并提供了有效 P oC。
[ 无 ]
分值范围 0(兑换安全币系数:Web/服务器 0 ; PC 客户端/移动终端 0 )
本等级包括:
1. 无关安全的 bug。包括但不限于网页乱码、网页无法打开、某功能无法用。
2. 无法利用的“漏洞”。包括但不限于没有实际意义的扫描器漏洞报告(如 WebServer 的低版本)、Self-XSS、无敏感信息的 JSON Hijacking、无敏感操作的 CSRF(如收藏、添加购物车、非重要业务的订阅、非重要业务的普通个人资料修改等)、无意义的源码泄漏、内网 IP 地址/域名泄漏、401 基础认证钓鱼、程序路径信任问题、无敏感信息的 logcat 信息泄漏。
3. 无任何证据的猜测。
4. 非Bitget业务漏洞。
评分标准如下
安全情报评分标准
安全情报是指Bitget的产品和业务漏洞相关的情报,包括但不限于漏洞线索、攻击线索、攻击相关信息、攻击方式、攻击技术等。根据危害及情报提供情况详细评分标准如下表:
评分标准通用原则
1. 评分标准仅针对对Bitget产品和业务有影响的威胁情报。域名包括但不限于*.bitget.com,服务器包括Bitget运营的服务器,产品为Bitget发布的客户端产品。对Bitget业务安全无影响的威胁情报,不计分。
2. 重要客户端产品是指Bitget客户端产品。
3. 对于非Bitget直接发布的产品和业务或是Bitget开放平台的第三方应用威胁情报,均不计分。
4. 对于第三方库(比如libpng、zlib、libjpeg 等等)导致的客户端漏洞(包括 PC 和移动端),且可以通过升级或者更换第三方库可完成修复的漏洞,仅给首个漏洞报告者计分。同时, 从 BGSRC 获取首个漏洞的反馈时间到第三方首个修复版本发布时间的日期内,对于同一类漏洞均按一个漏洞计分,危害等级取危害最大的一个漏洞来评定。
5. 对于移动终端系统导致的通用型漏洞,比如 webkit的 uxss、代码执行等等,仅给首个漏洞报告者计分,对于其它产品的同个漏洞报告,均不再另外计分。
6. 由于客户端漏洞审核本身比较复杂并且涉及到其它的开发部门,审核时间可能较 WEB 漏洞长,有时可能由于报告者提供的漏洞细节不够详尽,导致 BGSRC无法按原定时间内给出结论,请各位白帽子理解。因此请各位白帽子在反馈漏洞时提供 poc/exploit,并提供相应的漏洞分析,以加快管理员处理速度,对于 poc 或 exploit 未提供或者没有详细分析的漏洞提交将可能直接影响评分。
7. 如果同一时间周期内提交同一客户端的多个漏洞,请报告者在反馈漏洞时明确给出导致漏洞和触发漏洞的关键代码,以帮助快速确认是否为相同漏洞,加快漏洞确认时间。
8. 对于第三方通用型漏洞导致的安全问题,依据通用漏洞奖励标准。
9. 威胁情报报告者复查安全问题时如果发现安全问题仍然存在或未修复好,当作新威胁情报继续计分。
10. 同一条威胁情报,第一个报告者得分,其他报告者不得分;提交网上已公开的威胁情报不计分。
11. 拒绝无实际危害证明的扫描器结果。
12. 以安全测试为借口,利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的,将不会计分,同时Bitget保留采取进一步法律行动的权利。
奖励发放原则
[ 常规奖励 ]
1. 奖品使用安全币(BGSRC的一种虚拟货币)兑换,安全币数量由威胁情报的评分乘以相应危害等级系数而得,危害等级系数参考“威胁情报评分标准”章节(该系数会根据实际情况调整,每次调整会公告发布)。多个威胁情报产生的安全币可累加,除非特别声明,未使用的安全币不会过期。
2. 漏洞奖励处理标准的解释权归Bitget安全部⻔所有。
争议解决办法
在威胁情报处理过程中,如果报告者对处理流程、威胁情报评定、威胁情报评分等具有异议的,请通过当前威胁情报邮箱及时沟通。Bitget安全应急响应中心将根据威胁情报报告者利益优先的原则进行处理,必要时可引入外部人士共同裁定。
FAQ
Q:BGSRC 的 1 安全币相当于多少人民币?
A:根据业界奖励标准,当前 BGSRC 1 安全币大约相当于 5 元人民币
Q:在Bitget收到威胁情报反馈后的威胁情报会公开吗?
A:为了保护用户利益,在威胁情报反馈的安全问题修复前,威胁情报相关信息均不会公开。安全问题修复后,威胁情报报告者可以公开。本着“授人以鱼不如授人以渔”的考虑,BGSRC 建议威胁情报报告者将威胁情报相关技术进行归类和总结,以技术文章的方式公开
Q:BGSRC 与其他安全团体的关系是如何的?
A:Bitget安全离不开业界的支持与帮助,BGSRC 愿意与各个安全团体深度合作,共同推动安全行业的健康发展。目前 BGSRC 已经与一些安全团体展开了合作,未来将有更多合作
Q:Bitget有没有先“忽略”漏洞然后偷偷修复?
A:绝对不会。提交的“漏洞”一旦进入“忽略”状态,跟进同事会在评论中留下忽略的原因。常见情况是这个“漏洞”不认为是漏洞而被评估为一个 bug,BGSRC 仅知会相关产品同事,是否更改这个“bug”由产品同事决定;另外一种情况是业务本身的变动,导致“漏洞” 不复存在。但是不论如何,Bitget方面都不会“偷偷修复漏洞”。
Bitget团队
【联系我们】
海外区用户访问:www.bitget.com
客户服务:support@bitget.com
【官方渠道】
官方客服电报号:@Bitget_service
【收录平台】