用户
搜索

该用户从未签到

SRC部落

Rank: 7Rank: 7Rank: 7

1

主题

1

帖子

8

魔法币
收听
0
粉丝
0
注册时间
2018-11-29
发表于 2018-11-30 09:26:43 36957
本帖最后由 本木SRC 于 2018-11-30 09:26 编辑

各位i春秋的小伙伴们,大家好,本木医疗安全应急响应中心(BMSRC)正式上线啦!
一、      关于我们
本木医疗(北京怡合春天科技有限公司)秉承着“专业、高效、创新”的精神,致力于开拓“互联网+医疗”的行业建设。京医通公众号已为广大用户提供了良好的就医服务,解决挂号难、就医难等情况。
本木医疗安全应急响应中心是致力于保护用户信息安全、产品安全和业务安全而建立的安全响应平台,希望能够增加与各位安全专家合作和交流的机会。
二、      上线活动
平台上线怎么能缺少活动呢
本木医疗SRC平台初次上线,为了调动大家伙的积极性,让大家挖(赚)到更多的漏(奖)洞(金),感谢你们的辛苦付出,特推出新上线漏洞奖励计划。

1、活动时间
2018123---20181231
2、活动内容
第一波活动
活动期间提交的有效漏洞获两倍积分奖励(无金币奖励)

第二波活动---最爆炸活动
活动结束后会按照积分进行排名,排行榜的前二十名将会获得超级大礼包

  
积分
  
漏洞要求
排名
奖励
  
第一名
  
至少1中危
一等奖
价值5000元的京东E
  
第二到五名
  
至少1中危
二等奖
价值2000元的京东E
  
第六到十名
  
至少1中危
三等奖
价值1000元的京东E
  
第十一到二十名
  
至少1中危
四等奖
价值500元的京东E

3、业务系统范围
域名:*.benmu-health.com

4、漏洞提交方式
通过官网注册账户并登录提交漏洞。
目前SRC活动采用的是邀请制,在登录平台的时候需要输入邀请码方可登录到平台提交漏洞。邀请码需要联系管理员获取,每个人的邀请码都是唯一的,其他人员不可用,在活动期间内每次登录都需要邀请码,当活动结束后邀请码机制会取消,正常登录即可。
如有其他问题,可以通过QQ/微信等方式沟通,建议通过微信群进行沟通,扫描下方二维码联系管理员入群哦。

QQ群:934474139
管理员微信账户:src_bm
weixin.jpg
三、      漏洞奖励标准
白帽子提交完漏洞后经验证漏洞存在后,会按照下面评分标准给予相应积分奖励。积分是用来评定白帽子等级的,当本木医疗安全应急响应中心有其他的活动时,会优先邀请平台核心白帽子参加。
1、漏洞奖励计算公式:
奖励=漏洞价值基数 * 漏洞复现难度

2、漏洞价值基数如下表所示:
  
漏洞等级
  
积分奖励
边缘系统
一般系统
核心系统
  
严重
  
101-300
1
2
3
  
  
51-100
1
2
3
  
  
11-50
1
2
3
  
  
1-10
1
2
3
  
  
0
0
0

3、 漏洞复现难度表:
  
漏洞复现难度系统
  
描述
  
1.2±0.1
  
有现成的测试工具、详细的攻击流程、漂亮的测试报告
  
0.9±0.1
  
有现成的或开发简易的测试工具、详细的攻击流程
  
0.6±0.1
  
无现成的或开发复杂的测试工具、有较详细的攻击流程
  
0.3±0.1
  
有公开的报告且粗略描述可能存在的攻击方法
  
0.0±0.1
  
有公开的报告但是没有相应的攻击方法

4、举例来说:
假如小明发现了京医通微信公众号一处严重的sql注入漏洞,且使用的是现成的sqlmap工具,并在报告中详细描述了测试过程,那么小明获得的奖励就是300*3*1.3=1170积分。

5、 系统等级定义:
核心系统应用:京医通微信公众号,北京市属医院健康体检小程序
一般系统应用:其他业务相关系统
边缘系统应用:非业务系统、监控系统、管理工具等
四、      【漏洞等级】
根据漏洞的危害程度将漏洞等级分为 【严重】【高】【中】【低】【无】五个等级。
结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的漏洞定级,每种等级包含的评分标准及漏洞类型如下:
严重
本等级包括:
1)严重的敏感信息泄露,包括但不限于可以获取重要数据的SQL注入漏洞(资金、身份、交易相关)、源代码泄露以及任意文件读取和下载漏洞(如包含重要服务口令),系统权限控制不严格等导致的敏感数据泄露漏洞,公司内部核心业务系统数据泄露等;
2)严重的逻辑设计缺陷和流程缺陷。包括但不限于任意账号登陆、任意账号密码密保修改、账号密码校验逻辑、核心接口数据验证逻辑、支付逻辑漏洞等,以任意人身份敏感操作等;
3)远程直接获取核心系统权限的漏洞(服务端和客户端),包括但不限于远程任意命令执行、远程代码执行、上传获取WebShell 、缓冲区溢出、SQL注入获取系统权限等;
4)直接获取基础架构系统权限包括但不限于:核心业务操作系统、核心业务数据库、防火墙等;
5)直接导致核心业务系统拒绝服务的漏洞。包括但不仅限于直接导致线上业务拒绝服务、可导致大量用户崩溃掉线等。(DDoSCC攻击等资源耗费型的拒绝服务除外)。
高】
本等级包括:
1)重要敏感信息泄漏。包括但不仅限于非核心DBSQL注入、源代码压缩包泄漏、可获取大量用户交易信息的接口、服务器、应用加密可逆或明文的敏感信息泄露;
2)严重的越权访问,包括但不限于敏感信息修改、敏感信息读取、进行涉及钱财的操作、重要业务配置修改、获取大量内网敏感信息等;
3)大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS(包括存储型DOM-XSS)、涉及交易、资金、密码的CSRF
4)涉及资金、订单和用户敏感信息的逻辑设计缺陷和业务流程缺陷;
5)弱口令,非边缘系统后台的弱口令;
6SSRF类型漏洞可探测内网等;
7)属于严重级别中所描述的漏洞类型,但是产生在非核心系统中的漏洞;
8)本地代码执行漏洞,包括但不限于内存破坏、类型混淆、整数问题等导致的可利用本地代码执行漏洞。
本等级包括:
1)需交互才能获取用户身份信息的漏洞。包括但不限于核心业务的存储型XSS 、反射型XSSJSON劫持、重要敏感操作的CSRFURL跳转漏洞;
2)普通信息泄漏。包括但不仅限于客户端明文存储密码、客户端密码明文传输以及web路径遍历、系统路径遍历。边缘系统的普通代码泄露;
3)普通越权操作,包括但不仅限于不正确的直接对象引用,越权读取、越权篡改数据、越权访问一般系统、边缘系统的后台;
4)普通但有一定影响的逻辑设计缺陷和业务流程缺陷;
5)可导致资源滥用或造成对用户骚扰的漏洞,包括但不限于:短信炸弹、邮件炸弹等;
6)弱口令。一般系统、边缘系统后台的弱口令。
低】
本等级包括:
1)客户端本地拒绝服务漏洞。包括但不仅限于组件权限导致的本地拒绝服务漏洞;
2)远程拒绝服务漏洞。包括但不限于攻击接口、页面、组件导致的拒绝服务等;
3)轻微信息泄露。包括但不限于路径信息泄露、phpinfo、异常信息泄露、无具体代码的svn/git信息泄露、以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息、已脱敏的用户信息泄露等;
4)其他只能造成轻微影响的漏洞。反射型XSS(包括反射型DOM-XSS)、普通CSRFURL跳转漏洞;
5)无限制短信接口,可存在暴力破解的接口;
6)影响产品系统安全bug
本等级包括:
1)无关安全的bug,包括但不限产品功能缺陷、页面乱码、样式混乱、无安全影响的本地拒绝服务、应用兼容性;
2)无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏、版本过低;
3)无法重现的漏洞、无任何证据的猜测;
4)和公司无关的安全漏洞。
五、      情报奖励标准
白帽子在平台提交完威胁情报后,我们会结合威胁情报的实际价值,给出对应的奖励。
1、情报奖励计算公式:
奖励=情报价值基数 * 情报完整性

2、情报价值基数如下表所示:
  
情报等级
  
情报价值基数
  
严重
  
101-300
  
  
51-100
  
  
11-50
  
  
1-10

3、情报完整性如下表所示:
  
情报完整性
  
描述
  
1.2±0.2
  
情报可靠,能提供具体的情报细节,包括但不限于时间、人员、行为方式、证据等
  
0.8±0.2
  
情报信息大部分可靠,能提供比较具体的情报细节,包括但不限于时间、人员、行为方式、证据等
  
0.4±0.2
  
情报信息部分可靠,能提供比较粗略的情报细节,包括但不限于时间、人员、行为方式、证据等
  
0.0+0.2
  
情报信息部分可靠,只能提供比较粗略的情报信息,基本上没有具体的情报细节信息

4、举例来说:
假如小明提供了一个号贩子刷票的行为,提供了号贩子的微信账户、IP地址、操作时间、操作行为及证据,那么小明获得的奖励就是300*1.4=420积分。
六、      情报等级
根据情报的危害程度将情报等级分为 【严重】【高】【中】【低】【无】五个等级。
严重
本等级包括:
对公司核心业务、系统、办公网络造成重大影响,或对公司造成大量资金损失以及严重损害公司品牌形象的威胁情报,如:
1)本木医疗大规模敏感信息泄露,并验证真实有效的情报,如用户信息、医生信息、订单信息等;
2)针对本木医疗重要业务、核心系统、办公网络发现被入侵或被拖库的有效情报;
3)利用京医通等平台开展号贩子恶意抢号、卖号等行为证据。
本等级包括:
对公司核心业务、系统、办公网络造成一定影响,或对公司造成一定资金损失以及损害公司品牌形象的威胁情报,如:
1)对本木医疗已经造成重大影响的蠕虫、病毒、木马、钓鱼等有效情报;
2)针对本木医疗进行有组织的威胁活动以及正在进行的重大威胁情报,如撞库、刷号等;
3)发现本木医疗可造成大量数据泄露或被窃的有效方法、攻击代码、工具等情报。
本等级包括:
对公司核心业务、系统、办公网络造成一定影响,或对公司造成一定资金损失以及损害公司品牌形象的威胁情报,如:
1) 针对本木医疗进行无组织的威胁活动以及正在进行的威胁行为情报;
本等级包括:
对公司业务、系统、办公网络造成轻微影响的威胁情报,如:
1)对核心业务以及少量用户造成的轻微损失,如钓鱼网站,钓鱼 qq、微信群等;
本等级包括:
1) 经验证情报为虚假捏造或制造情报信息;
2) 上报可能刷号、抢号的群号而未能提供有效信息;
3) 与本木医疗无关产品或业务的相关情报;
4) 已得知或失效的情报;
5)对业务用户影响不大,在可承受范围内的。
七、      通用原则
1、由同一个漏洞源引发的多个漏洞计漏洞数量为一;
2、同一个漏洞,首位报告者计积分,其他报告者均不计;
3、报告网上已公开的漏洞不计积分;
4、同一份报告中提交多个漏洞,只按危害级别最高的漏洞计算;
5、严格保密已提交的漏洞,如若泄密一经发现撤回所有奖励;
6、以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,将不计积分,同时北京怡合春天科技有限公司保留采取进一步法律行动的权利。
八、      争议解决办法
漏洞报告处理过程中,如果报告者对漏洞处理流程、漏洞评定、漏洞评分等有异议的,可发邮件至:sec@benmu-health.com BMSRC将根据反馈重新商定结果做调整。或加入QQ群、微信群联系管理人员进行沟通。
九、      注意事项
1、严禁使用自动化漏扫工具发起高频扫描行为;
2、测试结果应仅限证明漏洞存在并可被利用即可(即poc),严禁利用漏洞进行非法操作,包括但不限于:脱裤、内网渗透等;
3、严禁在任何公开渠道或自媒体上公开漏洞细节;
4、严禁通过社工方式对系统进行渗透。


发表于 2018-11-30 09:32:23
奖金不错啊,顶一个,先挖洞存着去
使用道具 举报 回复
发表于 2018-11-30 09:54:35
gncao 发表于 2018-11-30 09:32
奖金不错啊,顶一个,先挖洞存着去

直截了当,撸起袖子挖洞去!!!
使用道具 举报 回复
发表于 2018-11-30 10:20:48
维尼小胖子 发表于 2018-11-30 09:54
直截了当,撸起袖子挖洞去!!!

必须的
使用道具 举报 回复
发新帖
您需要登录后才可以回帖 登录 | 立即注册