快看安全应急响应中心(KKSRC)漏洞评分与奖励标准 v2.1

公告编号:作者:admin发布日期:2023/08/24

版本号修订内容发布日期
V2.1更新礼品发放时间2023年8月24日
V2.0优化评分细节;完善处理细则;取消低风险漏洞奖励2023年7月1日
V1.0发布第一版2023年1月1日


一、基本原则

1、强化合作:快看安全中心热切期盼与白帽子合作,以此方式加强我们的业务安全以及行业之间的合作。我们高度鼓励并欢迎广大用户对我们的产品和业务的安全漏洞进行反馈,我们将保证:每一份反馈的报告我们都会有专人进行详细的评估和跟进,为白帽子提供相应的利益回馈。

2、道德准则:我们在此郑重声明,快看坚决反对并谴责任何利用漏洞测试为借口,利用安全漏洞进行破坏,以及损害用户利益的不道德行为,包括但不仅限于利用漏洞窃取用户隐私和虚拟财产,非授权侵入业务系统,非法获取系统(业务)数据,盗窃用户数据,以及恶意传播漏洞或数据等。对于这类行为,快看将保留采取法律手段追究责任的权利。

3、提出建议:如果您对我们的这个流程有任何建议或改进的意见,我们欢迎您将您的意见发送至我们的邮箱 infosec@kkworld.com ,我们非常期待您的宝贵建议。

二、 漏洞提交及处理流程

2.1 提交流程

image2023-6-28_15-24-30.png

2.2 漏洞争议与解决方式

一般情况下,我们依据奖励评级细则实施分级奖励;对于存在争议的问题,将由安全团队内部进行深入讨论并通过投票决定评级。请注意,最终对评级细则的解释权归安全团队所有。


2.3 漏洞通用评分规则

(1)针对同一漏洞,首位报告者将被计为贡献者,其余报告将被视为不符合规则,不予确认。对于内部已知漏洞,以内部告警时间为准。

(2)在漏洞未修复期间,未经许可公开漏洞的行为将不被认可。

(3)部分理论上可能存在但无法深度证明的漏洞报告,我们的安全工作人员会进行内部测试以确认其潜在危害。如因各种条件无法证明漏洞危害,将根据报告目前能证明的危害进行评分。

(4)对于通用型漏洞,我们会设定一段“锁定时间”从官方安全公告发布时开始计算,在这段时间内进行业务排查、修复及补丁推送。锁定期内提交的漏洞不再给予奖励。在锁定时间后,如果仍发现了相关漏洞,并能通过PoC验证实际影响业务,我们会按照漏洞评审规则进行评定和奖励。

(5)由同一漏洞源引发的多个漏洞只计为一个漏洞。例如:由于服务器配置、应用框架功能、同一文件或模板、泛域名解析等问题引发的多个漏洞。

(6)漏洞报告应尽可能包含详细的漏洞描述、复现漏洞的poc、漏洞危害证明,以加快技术人员的处理速度。对于简单、未证明危害的报告可能被忽略或降低评分。

(7)短信轰炸定义:单一 IP/用户半小时内定向发送超过 50 条短信后无任何限制。利用短信接口无限制向不同手机发送单条短信的行为将被忽略。

(8)关于合作厂商的漏洞,我们只接收与快看业务相关的漏洞,将参照实际危害和影响进行评级。对于与快看业务无关的合作厂商漏洞,我们会向提交者表示感谢,并将漏洞情况传达给合作厂商,但不计入额外奖励。

(9)各漏洞的最终审核情况由漏洞利用难易程度、危害程度和影响范围等因素综合考虑后决定。

2.4 注意事项

(1)请在必要范围内进行验证或漏洞指标核实测试,不要过度利用任何安全漏洞。

(2)请尽量避免访问我们信息系统内的数据,除非访问是验证安全漏洞必要的一步。如在测试过程中发现公司敏感信息,请立即停止测试并联系我们。

(3)请在任何情况下都不要泄露在漏洞测试过程中获取的任何数据。

(4)在未获得我司明确书面授权之前,不得公开或提供我司产品或服务安全漏洞的任何详细信息。

(5)如在测试过程中您不确定是否可以继续,欢迎与我们联系。

6)未经允许,请不要在任何情况下发布可被利用的漏洞poc


三、 安全漏洞评分细则

3.1 漏洞基础评分规则

我们根据漏洞的潜在危害程度将其分为五个等级:严重、高危、中危、低危、忽略。各等级包含的漏洞类型以及对应评分标准详见3.2节。

此评分规则仅供参考,漏洞的最终评分将基于实际利用难度、业务特性、漏洞影响范围、报告详细程度以及报告者在复测过程中的配合程度等多方面进行综合考量。最终解释权归快看安全中心所有。

3.2 WEB 漏洞评分规则

3.2.1 业务等级划分

一级业务:如快看APP漫画阅读(api.kkmh.com、kuaikanmanhua.com)、快看付费(pay.kkmh.com)等。

二级业务:如快看商城(shop.kkmh.com)、游戏卡片(gamecard.kkmh.com) 、社区(social.kkmh.com)等。

三级业务:如漫画分销平台(sales.kkmh.com)、后羿智投效果广告平台(houyi.kkmh.com)等。

注:随着业务的发展,业务等级划分会进行相应更新,请您持续关注。

3.2.2 评分细则

20230720121013.jpg

四、奖励发放规定

(1)漏洞报告者将通过报告漏洞获得安全币。安全币是快看安全中心的虚拟货币,可用于兑换礼品(1安全币等于1元人民币)。兑换网址为:https://security.kuaikanmanhua.com/index.php?m=&c=gift&a=index

(2)礼品兑换:我们将在每季度初统计并发放上季度的礼品。为确保顺利兑换,请各位报告者确保自身的个人资料已完整填写。

(3)请注意,若您未能及时填写详细的收货信息,礼品发放可能会延期。我们会在安全中心留言通知您。若由于快递原因导致礼品丢失或破损,快看安全中心将不承担责任。

注:如果报告者在漏洞处理过程中,对处理流程、漏洞评定或评分有异议,请通过infosec@kkworld.com邮箱进行反馈。我们会以报告者利益优先的原则,对您的反馈进行处理。


五、常见问题解答

(1)在KKSRC平台,1安全币等于多少人民币?

答:在KKSRC平台,1安全币等于1元人民币。