酷狗安全响应中心上线公告

公告编号:作者:ryanlei发布日期:2020/09/18


一.简介

酷狗安全应急响应中心(后述简称:KGSRC)致力于解决属于本公司线上产品或服务中存在的安全漏洞,欢迎大家们通过KGSRC反馈安全漏洞,共同提升酷狗产品和业务的安全性,守护亿万用户的数据安全。

所提漏洞一经确认,可以根据漏洞危害等级奖励积分,积分可兑换礼品(礼品陆续补充)。


二.安全威胁评分说明

KGSRC 威胁报告主要包含 web/客户端漏洞报告内容,下面会对每个部分的规则做评分说明。

根据威胁对业务产生的安全风险,威胁分为高危、中危、低危、无影响(忽略)四个等级。

酷狗相关业务,根据业务重要程度分为:核心业务、一般业务。

【核心业务】:酷狗音乐平台和酷狗直播相关业务

【一般业务】:酷狗创新项目,例如酷狗唱唱,酷狗短酷


                             业务

高危

   中危

      低危

                                 核心业务

 180-240

   30-50

     8-16

                                一般业务      

  36-48

    9-15

       1-2

                                       (ps:积分用于兑换酷狗周边)



三.漏洞标准

高危漏洞定义:

1.直接获取权限的漏洞(服务器权限、移动app 客户端权限),包括但不限于远程任意命令执行、可上传webshell、可任意代码执行。

2.直接导致严重的信息泄漏漏洞,包括但不限于重要DB 的SQL 注入漏洞、重要业务的重点页面的存储型XSS 漏洞。

3.直接导致严重影响的逻辑漏洞,包括但不限于帐密校验逻辑、核心接口数据验证逻辑、支付逻辑漏洞等。

4.移动客户端app 产品的自身开发功能的漏洞,包括但不仅限于以远程方式获取移动客户端权限执行任意命令和代码。

5.越权访问,包括但不限于绕过认证访问管理后台、后台登录弱口令、修改任意用户密码。

6.高风险的信息泄漏漏洞,包括但不限于源代码压缩包泄漏,大量用户的敏感信息泄漏。

7.直接获取客户端权限的漏洞,包括但不限于远程任意命令执行。

 

中危漏洞定义:

1.需交互才能获取用户身份信息的漏洞,包括但不限于重要敏感操作的CSRF、普通业务的存储型XSS、SSRF 等。

2.普通越权访问,包括但不限于绕过限制修改用户资料、执行用户操作。

3.比较严重的信息泄漏漏洞,包含敏感信息文件泄露(如:公网数据库连接信息)。


低危漏洞定义:

能够造成一定影响但无法直接获取设备权限和影响数据安全的漏洞,如:非重要信息泄露、URL 跳转、反射性XSS 安全漏洞、普通的CSRF 漏洞等。


暂不在漏洞收集范畴的类型:

1.无法影响他人的本地拒绝服务、Self-XSS、非敏感信息泄露(内网IP、域名)、无实际影响的CSRF 等漏洞。

2.无法利用的“漏洞”,包括不限于没有实际意义的扫描器漏洞报告,如webserver 低版本、无影响的源代码泄露等。

3.无任何证据的猜想,其他影响十分有限的漏洞。

 


四.其他说明


     1.平台积分目前不能兑换奖金。

     2.同一个漏洞,首位报告者计分,其他报告者不计。

     3.同一份报告中提交的多个重复的漏洞,按危害级别最高的漏洞计分。

     4.同一个漏洞源产生的多个漏洞计漏洞数量为一。例如同一个接口、发布系统引起的多个安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个安全漏洞。

     5.请您务必对您提交的漏洞进行保密,不向任何第三方透露。

     6.报告网上已公开的漏洞不计分。

     7.TME(腾讯音乐娱乐集团)员工不得参与或通过朋友参与漏洞奖励计划。