JSRC漏洞評分新規則:系數全面上調、優質報告“加雞腿”價值≥1個中危
責編:gltian |2018-07-18 18:04:20周三大事件JSRC漏洞評分規則6.0出爐啦!
距離上次評分規則的更新已有一年,這一年來,我們將所有收集到的來自白帽子的反饋、爭議進行整理分析,不斷求取白帽子和同行意見,反復修改。今天,規則6.0終于出爐啦,感謝對此規則給予過建議的朋友,在此要特別感謝Jinone、花生、v清風、Alice對本規則的大力幫助。
下面就和小妹一起看看新版評分規則主要有哪些重要更新吧~
1.積分計算方式
首先一個比較大的更新是漏洞積分的計算方式,新版規則根據涉及數據的敏感程度及業務重要性,按核心、一般、邊緣業務分別計算分數,更貼近業務實際場景,計算公式為:漏洞積分 = 基礎積分 * 業務的等級系數如下表:
表1? 積分范圍參考
并且大家可以看到,本次更新將所有業務等級的系數都上調了,因此獎勵也是上浮了不少,核心業務單個漏洞最高7500元的獎勵!!說的我都心動了,來看看具體的漏洞獎勵列表吧:
表2? 漏洞價值范圍參考(單位:元)
注:同時,我們的特殊漏洞現金獎勵計劃沒有變化,最高50w人民幣的現金獎勵,等你來拿!
2.漏洞報告打賞
新版評分規則除了在積分計算方式上有所改變,更是新增一個加分項,即:高質量漏洞報告積分獎勵
對于漏洞描述詳細、報告內容完整、思路清晰的漏洞報告,審核人員將對報告者進行額外獎勵(獎勵分數范圍10-100,即50元—500元的鼓勵)
規范書寫報告既能鍛煉自己的文檔能力,又能拿到大于等于1個中危漏洞的獎勵,何樂而不為呢~
該項獎勵已經實行一段時間,到目前為止已有4位白帽子獲得這項獎勵:
3.業務范圍更新
為了方便大家測試,本次規則對漏洞測試范圍進行了更新,不僅補充了web測試范圍、還新增了APP和IOT的測試范圍:
京東商城:
*.jd.com、*.jd.hk等;
1號店:
*.yhd.com、*.yihaodian.com等;
京東物流
*.jdwl.com 等;
京東海外
*.joybuy.com、*.jd.ru 、*.jd.co.th 、*.jd.id等;
京東醫藥
*.healthjd.com、*.yiyaojd.com等;
7fresh:
*.7fresh.com等;
京東金融:
*.jr.jd.com、*.baitiao.com、*.jdpay.com、 *.wangyin.com等;
京東云:
*.jcloud.com、*.jdcloud.com 等;
京東App重點關注:
拍拍二手,7Fresh,1號店??,京東閱讀,手機京東,TOPLIFE,京東微聯,JD.id(印尼版本),JOYBUY(俄羅斯版本)等
IOT業務范圍:
核心產品:叮咚二代、Top 、微聯硬件
一般產品:A1/A1X
邊緣產品:Q1、Q3、A3
以上,我們依據業務受漏洞影響的重要程度做了業務等級劃分,僅為JSRC評分之目的使用
4.漏洞的掛起和復查
在新版評分規則的漏洞反饋和處理流程中
新增了漏洞的掛起階段,白帽子在提交漏洞時,若有漏洞描述不清晰或者證據不充分導致漏洞無法復現的問題,審核人員會將漏洞設置為掛起狀態,以減少誤忽略的情況。
漏洞復查階段,白帽子可對狀態為已修復的問題進行復查,若問題仍存在,可再次提交反饋。JSRC已確認的漏洞,3個月后復查若問題仍然存在,無論漏洞當前狀態,均可再次提交。(賺錢的法子都寫在這里了,別說我沒告訴你)
5.其他
除了以上這些大的變化,新規6.0還有以下小改動:
1.高、中、低、無危害漏洞部分內容調整
2. 威脅情報內容及范圍更新
3. 威脅情報評分標準更新
4.通用原則條目部分更新
本規則將于下周二即2018.7.24開始實行