大数跨境
首页
>
《奇安信SRC产品漏洞评级标准V3.2》
>
0
0

《奇安信SRC产品漏洞评级标准V3.2》

《奇安信SRC产品漏洞评级标准V3.2》 奇安信安全应急响应中心
2025-10-17
39
评分原则
奇安信集团对自身产品和业务的安全问题非常重视,也一直致力于保障用户安全,我们希望通过奇安信集团安全应急响应中心(以下简称QAX SRC)加强与业界个人、组织及公司密切合作,帮助我们不断提升和完善自身产品和业务以及保障客户的安全。
奇安信集团支持负责任的漏洞披露和处理过程,我们承诺,对每一位报告者提交的问题都会有专人跟进、分析和处理,并及时给予答复。

漏洞反馈与处理流程
1、提交漏洞
白帽子可以通过QAX SRC平台(https://qianxin.butian.net/)注册并提交漏洞。内容包括但不限于:漏洞的位置及潜在危害,复现该漏洞所需的步骤、脚本、漏洞触发代码、重现该问题的技术相关信息、可能的解决措施等。请白帽子注意,您提交的漏洞详情描述的细致以及完整程度将影响最终的奖金评级,请尽可能详尽地通过复现步骤说明漏洞危害。
2、漏洞处理流程
三个工作日内(法定节假日顺延):处理白帽子提交的漏洞信息。
五个工作日内(法定节假日顺延):完成漏洞的审核确认、漏洞定级以及奖励金额评估。
一旦提交的漏洞被确认,白帽子可以收到相对应的奖金奖励。对于贡献度较高的白帽子,QAX SRC会送出专属定制礼品/礼盒。
3. 漏洞修复
业务部门对QAX SRC反馈的安全问题进行修复更新、总结复盘,修复时间根据安全问题的严重程度及修复难度而定。届时白帽子们可以复测所提交的安全问题是否已修复。

安全漏洞奖励标准
针对漏洞提交以及确认有效的贡献者,QAX SRC将按资产的重要性以及漏洞影响来计算奖金范围。
1、奇安信集团的产品漏洞
A类:新一代智慧防火墙、终端安全管理系统(ESM)、云安全管理平台(CSMP)、终端安全管理系统(ESMX)、服务器安全管理系统(椒图云锁)、运维安全管理与审计系统(堡垒机);
B类:威胁感知(天眼)、态势感知与安全运营平台(NGSOC)、新一代网络安全态势与协同监管平台、网络空间安全态势感知与协调指挥系统(CSSA)、漏洞攻击防护系统(天狗)、安全接入网关系统(SSL VPN)、零信任身份服务系统(TAC)、零信任统一身份认证与管理系统(IAM)、Web应用防火墙系统(WAF)、安全SD-WAN;
C类:信创通用版终端安全管理系统、上网行为管理-网神上网行为管理与审计系统(NBM)、工业安全监测系统(ISD)、日志收集与分析系统(LAS)、工业防火墙(ISG)、网络安全准入系统(NAC)、代码卫士、盘古石手机取证分析系统、API安全检测系统、可信浏览器、安全隔离与信息交换系统(双向网闸)、工业安全态势感知与管理平台(IMAS)、统一服务器安全管理系统(USS)、工业主机安全防护系统(IEP)、网络安全实训系统、上网行为管理-网康互联网控制网关(ICG)、数据库审计与防护系统(DAS)、光单向安全隔离数据自动导入系统(单向光闸)、安全保密套件管理系统、漏洞扫描系统(SecVSS)、防护监管一体化平台、网神SecGate3600防火墙系统、入侵防御系统(IPS)、开源卫士、实战攻防演习平台、安全编排自动化与响应系统(SOAR)、数据安全管理与分析系统(DS-MAS)、终端安全运营平台(ESOP)、可信应用代理系统(TAP)、盘古石计算机取证分析系统、安全感知与管理平台(SA)、服务器密码机系统、网络安全竞技系统、特权账号管理系统(PAM)、边缘安全接入运营平台、奇安信网神网络安全审计系统(NSA)、星鉴网络取证系统、自动化渗透测试系统、移动安全管理系统(TrustSpace)、隐私卫士、保密版防火墙系统、云匣子系统、互联网保密自监管系统、工控安全实验室(ISLAB)、奇安信网神安全代理网关(SWG)、入侵检测系统(IDS)、天守安全防护软件、网络诈骗预警软件、信创专用版防病毒系统、工业安全审计系统(ISAS)、数据防泄漏系统(DLP)、数据安全交换平台(DSE)、应用交付系统(ADS)、可信API代理系统(TIP)、安全感知与管理平台(AISA)、网络威胁检测与响应系统、API安全智能分析与管理系统、盘古石取证战星系统、零信任身份分析系统(IDA)、大禹平台、盘古石智能现场勘查系统、合规一体机(SDSEC)、工业网络安全准入系统(IETC)、移动应用自防护系统(MIAP)、盘古石星探网络取证系统、涉密网络自监管与态势感知平台(NGSOC - 涉密网)、工业漏洞扫描系统(ISV)、盘古石云取证系统、国密安全密码应用中间件系统、工业安全隔离与信息交换系统(ISS)、抗拒绝服务系统(DDoS)、防毒墙系统(AV)、域名为*.qianxin.com和*.butian.net的互联网侧系统、蓝信App应用;
D类:戎码翼龙高级威胁防御系统、星城平台(CTSOC+CSSP)、云安全运营中心(CSC)、网康行为感知分析系统(NAAS)、上网行为集中管理平台(NS-SMC)、大模型卫士、奇安信网神流量管理系统(ITM)、网站云监测系统、智能指挥平台、DAWX、全流量回溯分析比对系统、移动安全大数据综合比对与查证系统、开源数据分析平台、数据清洗系统软件、SEC安全网络通信软件、TY区域数据查证系统、TY社交数据分析平台、天合数据检索与互动式浏览系统、安全机器人(QAX-GPT)、实战化防御指挥平台、应急响应分析处置系统、邮件威胁感知系统、安全DNS检测防御系统、攻击诱捕系统、创网智能网络流量牵引系统、大数据智能建模众创平台、实战化态势感知平台(大禹版)、重保研判分析系统、监测平台业务处置系统、涉密网保密技术检查监管系统、威胁情报系统、CyberSky网络安全管理系统、工业日志收集与分析系统(ILAS)、工业入侵检测系统(IIDS)、工业运维安全管理系统(IBH)、工业安全检查工具箱(ISAT)、工业自动化渗透测试系统、车联网安全态势感知与安全运营管理平台(VSOC)、网络安全策略管理系统、API安全防护系统、应用安全网关系统、互联网接入口检测器系统、资产管理系统、手机盾统一认证系统、电子签章系统、创原天地签名验签服务系统、创原天地时间戳服务系统、手机盾运营平台系统、数据加密系统、数字证书认证系统、数据交易沙箱系统、数据安全开放平台、霍因海石数据智能分类分级系统、智安(DataSec)数据分类分级产品、DGOffice数据治理办公室系统、数据跨境检查与分析系统、数据跨境安全分析与管理系统、数据跨境安全监管分析与管理系统、移动威胁防御系统(MTP)、移动可信环境感知系统(MTESS)、奇证云存证系统、网络诈骗团伙发现软件、盘古石星图多维数据分析系统、星源APP溯源分析、长剑Windows解锁系统、星鉴现场取证系统、信创版智慧管理分析系统(SMAC)、SSL编排器(SSLO)、安全网络管控平台(SD-WAN)、商密版VPN安全网关(SD-WAN)、信创版VPN安全网关(SD-WAN)、安全教育版日志收集与分析系统、安全教育版上网行为管理与审计系统、安全教育版Web应用防火墙系统、安全教育版漏洞扫描系统、安全教育版云安全管理平台软件、安全教育版代码卫士、安全教版终端安全管理系统V8、信创版入侵检测系统(IDS)、信创版入侵防御系统(IPS)、除域名为*.qianxin.com和*.butian.net外的其他互联网侧系统(如*.lanxin.cn、*.netentsec.com、*.legendsec.com等)。
根据漏洞业务类型及危害级别,奖励金额如下:
奖励金额 = 参考奖金 + 额外奖励
额外奖励:视漏洞严重程度以及所提交报告的质量,QAX SRC将对白帽子所提交的安全漏洞增加额外奖金。
参考奖金如下:

高危漏洞

中危漏洞

低危漏洞

A

10000-30000

2000-3000

100-500

B

5000-10000

1000-2000

50-300

C

2000-6000

200-1000

50-200

D

1500-3000

100-500

50-100


评分细则

漏洞等级

漏洞评级标准

高危

1)直接获取业务系统权限的漏洞。包括但不限于命令注入、远程命令执行、文件上传等获取 WebShell或反弹shell的漏洞及组合。
   2)直接导致严重的信息泄漏漏洞。包括但不限于重要 DB    SQL 注入漏洞、能直接访问内网且可获取回显的SSRF漏洞、未授权访问大量用户身份信息的漏洞或直接对业务造成高风险信息的漏洞。并且需要泄漏三个及以上的敏感信息字段(比如:个人真实姓名、身份证号码、住址、联系方式(手机号、微信、QQ、邮箱)、银行卡号等)。
   3)直接导致严重影响的逻辑漏洞。包括但不限于任意账号密码更改漏洞、任意用户登录漏洞等。
   4)直接导致严重影响的越权访问。包括但不限于绕过认证访问管理后台,多维度敏感信息的越权访问。

中危

1)普通的信息泄露。包括但不限于影响的数据量有限或者敏感程度有限的越权、源代码或系统日志等信息泄露。
   2)需要受害者交互或其他前置条件才能获取用户身份信息的漏洞。包括但不限于包含用户、网站敏感数据的JSON   Hijacking、操作(如支付类操作、发布信息或修改个人账号敏感信息类操作)的CSRF、存储型 XSS

3)普通的越权访问(比如:越权访问管理员的重要功能、重置普通用户信息、账户、权限,访问敏感数据,上传文件等)。
   4)普通设计缺陷,包括但不限于登录窗口可爆破(需提供成功案例)等问题。

5)默认口令包括但不限于产品通用的sshweb、第三方组件。

低危

1)轻微信息泄露,包括但不限于可登录后台但无权限或无数据操作的漏洞、PHPinfo、本地 SQL 注入、近期日志打印及配置等泄露情况。
   2)只在特定情况下才能获取用户信息的漏洞,包括但不限于反射型XSS(包括 DOM 型)。
   3)利用场景有限的漏洞,包括但不限于短信轰炸(使用短信接口不受限制地向不同手机发送1条短信的问题忽略)、URL跳转、系统的可撞库接口等。

4)非重要功能的接口越权/未授权访问。

5ssh登录后提权。

无影响

1)安全无关的产品BUG,包括但不限于产品体验或设计不好、非安全漏洞导致的服务无法访问等。

2)无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网IP地址/域名泄漏、管理后台泄漏、example等默认demo未删除、无敏感信息的SVN信息泄漏、只有固定版本的小众浏览器才能触发的XSS、邮件轰炸、轮循多个手机的短信轰炸等。

3)不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。

4信息安全漏洞导致的内容安全风险(如诱导模型输出不当言论)、与模型提示和响应内容相关的问题暂不收取。

5)部分风险过低或难以利用的问题。包括不限于PDF XSS、用户名遍历、SPF邮件伪造、无法请求内网的SSRF、并发请求操作某些产品中不重要的数据、无意义的API Key 泄露、本地拒绝服务漏洞。

6)产品自身的安全能力问题,比如绕过安全产品(安域、云锁等)的防护规则。


通用评分标准
1、评分标准仅适用于奇安信集团产品相关的安全漏洞。
2、报告中需要提供可稳定复现的exploit,如果短期内无法稳定复现,会降级或者忽略处理。审核人员处理后,在5个工作日内补充说明的不予降级。逾期补充,不再调整定级和奖励。沟通渠道:QAX SRC平台留言或微信咨询小安,微信号:QAXSRC_Official。
3、同一份报告中提交多个漏洞,按综合危害级别计分。同一个漏洞源产生的多个漏洞报告,一般按提交时间给最早的提交者奖励,且漏洞数量记为一个。
以下情况视为同一漏洞源:包括但不限于同一接口、同一代码文件、同一功能模块、同一参数、同一函数、同一触发点、同源产品代码。
对于同一产品或资产,若因未做过滤或其他情况,导致多个同类漏洞产生,则二个自然月内只收取三个作为有效漏洞,超过三个的降级给予奖励,超过五个不再发放奖励,以报告提交的时间为准。
对于仅部分产品、分支、版本、客户等受影响的漏洞,不给予奖励或视综合危害级别降级给予奖励。
4、对于存在利用门槛的漏洞会视其利用难度进行相应的奖金/漏洞等级的降级处理。比如:A类产品的无条件命令执行漏洞可获得最高奖励30000元;需要管理员登录的命令注入可获得奖励10000元;同时需要管理员登录和系统做特定配置、搭建其他服务等情况的命令执行漏洞,奖金范围进一步降低(高危最低奖金标准的50%-80%,5000-8000元)。
5、对于同一报告中有依赖关系和关联条件的多个漏洞,按照共同影响下能达到的最大危害给予奖励,如后台弱口令导致的多个漏洞最终可造成命令执行,最终按命令执行评分。若提交的多个报告中包含相同的利用条件(利用链中的某一个或多个漏洞相同),除第一个报告外,其余报告会适当地降级给予奖励。
6、对于互联网的漏洞,同一漏洞源按照标准3执行。重复提交同一漏洞源不同域名的漏洞,视其危害级别降级给予奖励。
7、对于报告质量高的漏洞(例如:漏洞原理的描述清晰、复现过程便于理解、给出的修复方案具有参考性),给予适当的额外奖励,奖励范围(100-1000元),具体由审核人员进行评估。
8、在漏洞未修复之前,被公开的漏洞不给予奖励,且奇安信集团将追究其法律责任。
9、报告网上已公开的漏洞不给予奖励。
10、同一漏洞,按提交时间给首位报告者给予奖励,其他报告者均不计算奖励。
11、由于App/客户端/产品升级和更新需要一定周期。对于内部已知并已修复,但未发布的情况,将进行内部评估予以降级或不计算奖励处理。
12、对于已发布的最新版本以及主流版本(以产线提供为准)上无法复现的漏洞,将不予计算奖励。其余情况酌情进行奖励。
13、第三方组件漏洞:
1)如果提交相关基础组件n day漏洞,且提交的漏洞已公开时间超过三个月,但仍存在未修复的环境,会根据实际攻击演示效果来评估定级。
2)如果提交相关基础组件0 day漏洞,且提供了可利用证明(如poc能证明造成信息泄露、控制pc等)会根据实际攻击演示效果来评估定级。
14、已退市或停止维护的产品不计算奖励。
15、A/B/C类安全产品的客户端漏洞统一按C类标准进行奖励。

争议处理
1、在漏洞处理过程中,如果报告者对处理流程、评定、评分等具有异议的,请将相关证据及内容发送邮件至src@qianxin.com进行说明。QAXSRC将根据报告者利益优先的原则进行处理,必要时可引入外部人士共同裁定。
2、QAXSRC对此奖励方案在法律许可的范围内拥有最终解释权,同时也欢迎各位安全研究者、报告者给我们提出宝贵的建议和意见。

注意事项
1、以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,将不计算奖励,同时奇安信集团保留采取进一步法律行动的权利。
2、奇安信集团反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户资料、入侵业务系统、修改、窃取相关系统资料、恶意传播漏洞或数据、暗藏木马后门以及不完整上报等。具体详见《SRC行业安全测试规范》,对于发生上述行为的,奇安信集团将追究其法律责任。
3、在您提交漏洞至QAX SRC,视为您同意遵守信息保密的原则和要求。针对已提交SRC的任何漏洞,须予以保密,均不允许您与第三方个人、组织讨论、分享、公开,包括但不限于通过网站、自媒体、邮件组、公开演讲、即时聊天群如Github、语雀、CSDN、知识星球、个人博客,QQ及微信群等国内外平台软件、以及任何形式进行讨论及分享。如有违反,我司将依法保留追究法律责任的权利,包括但不限于要求赔偿由此给我司造成的损失等。
4、奇安信集团及相关所属子公司的员工(包括正式员工、外包员工、实习生、临时员工等)及其直系亲属不能参与该奖励计划,奇安信员工请通过内部渠道提交安全漏洞报告。
5、互联网侧系统测试的注意事项:
1)越权读取时访问敏感数据不超过10条。
2)在测试未限制发送短信或邮件次数等扫号类漏洞,测试成功的数量不超过10个。如果用户可以感知,例如会给用户发送登录提醒短信,则不允许对他人真实手机号进行测试。
3)任意文件上传,推荐上传文本证明,如纯文本的1.php、1.jsp等证明问题存在即可。禁止下载和读取服务器上任何源代码文件和敏感文件,不能执行删除、写入命令。
4)存储xss漏洞,只允许插入不影响他人的测试payload,严禁弹窗,推荐使用console.log,再通过自己的另一个账号进行验证,提供截图证明。对于盲打类xss,仅允许外带domain信息。所有xss测试,测试之后需删除插入数据,如不能删除,请在漏洞报告中备注插入点。
5)禁止进行可能会影响系统运行的测试。
6)禁止对网站后台和部分私密项目使用扫描器。
7)禁止拖库、随意增删改他人信息,禁止进行会对服务稳定性造成影响的扫描、使用漏洞进行黑灰产行为等恶意行为。
8)敏感信息的泄漏会对用户、厂商及上报者都产生较大风险,禁止保存和传播业务相关的敏感数据,包括但不限于业务服务器以及Github等平台泄露的源代码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除。
9)除特别获准的情况下,严禁与漏洞无关的社工,严禁进行内网渗透。
6、*.lanxin.cn域名仅接收蓝信相关业务漏洞,部分该类域名非蓝信业务,视具体情况而定。
7、产品漏洞评级标准最终解释权归QAX SRC所有。

【声明】内容源于网络
0
0
奇安信安全应急响应中心
1234
内容 93
粉丝 0
奇安信安全应急响应中心 1234
总阅读352
粉丝0
内容93