需要特别注意的是,由于东方财富旗下东方财富证券公司股票业务的特殊性,在股市开盘时间,不可使用相关工具扫描,大批量并发的安全测试方法,以及 DDoS 等危害系统稳定的手段。股市开盘时间具体如下:沪深京业务(09:00-15:30),港股业务(09:00-16:00),美股业务(夏令时21:30-04:00,冬令时22:30-05:00),期货(日盘09:00-15:30,夜盘21:00-03:00)。
东方财富愿与业界各安全公司、安全组织和安全研究者一起共建安全可靠的网络空间。
如果您对本漏洞评分与奖励标准有任何的疑问或建议,欢迎咨询security#eastmoney.com
致谢:所有对EMSRC提供帮助的小伙伴!
温馨提示: 现金奖励提现时间一般为:当月31日前提交的申请将在下月15日左右完成
漏洞提交流程
漏洞状态说明
修复时间根据问题 的严重程度及业务部门修复难度而定,一般情况下,严重和高风险漏洞 72 小时 内,中等风险在七个工作日内,低风险十个工作日左右会给与状态确认。
- 待确认:漏洞已提交成功,等待审核员审核。
- 确认中:常规情况下,严重和高风险漏洞提交后72小时内(法定节假日顺延),EMSRC判断漏洞会否存在。
- 已确认:漏洞确认存在,我们正在积极修复漏洞,一般七天内给予反馈,请对漏洞细节进行保密!
- 已忽略:漏洞不存在或已有白帽子提交等,EMSRC将驳回漏洞,并告知忽略原因。
请保持您的联系方式畅通,如果有问题或需要沟通的地方EMSRC会联系您。
漏洞评估标准
- 【贡献值】由漏洞对应危害程度和业务以及应用的的重要性决定:
贡献值 = 应用系数 * 基础贡献值
- 【安全币】由漏洞对应危害程度和业务以及应用的的重要性决定:
安全币 = 应用系数 * 基础安全币
贡献值对应表
安全币对应表
安全币 : 人民币 = 1 : 10
业务系数说明
EMSRC以业务相关性为依据,将此系数划分为四个等级:核心业务、重要业务、一般业务、边缘业务
- 1、“核心”业务系数为 10,参考描述:业务中涉及真实用户,资金、交易、 品牌、数据等的核心业务,我司业务包括:证券、基金主站业务以及客户端, 东方财富网主站以及客户端(释:业务下的核心资产,不包括资讯和模拟类页 面), 涉及用户隐私数据和交易数据的管理后台;
- 2、“重要”业务系数为 6,我司业务包括:股吧、Choice、Level-2、期货 (释:业务下的核心资产)等,以及重要的管理系统后台,邮箱系统等;
- 3、“一般”业务系数为 3,参考描述:业务中不涉及资金、交易、品牌、数据 等的一般业务,我司业务包括:博客、东方理财师、choice 社区、财富号、优优私募、浪客直播的主站以及客户端;三方平台的公众业务(比如旗 下微信公众号、小程序);以及非重要的证券、基金、东方财富分站,不涉及 用户隐私数据和交易数据的管理后台等。
- 4、“边缘”业务系数为 1,一般业务中的非核心业务,包括东方财富第三方供 应商提供的系统,包括:财迷、BBS 等,边缘分站、无影响的后台、非重要的 测试系统等。
漏洞等级说明
严重漏洞
- * 核心业务的严重等级漏洞,视影响程度给予额外奖励至少10000元!
- 1) 直接获取当前业务核心服务器权限漏洞,包括但不限于内存破坏、直接上 传 WEBSHELL、利用逻辑缺陷任意加载 远程代码等可利用的远程代码执行漏 洞;
- 2) 核心敏感数据信息泄露漏洞,包括但不限于当前业务核心DB的SQL注入、 系统权限控制不严格等导致的敏感数据泄露漏洞;
- 3) 核心业务的逻辑漏洞,包括但不限于账密校验逻辑、核心接口数据验证逻 辑、支付逻辑漏洞等;
- 4) 严重的业务逻辑缺陷,可导致:大量用户经济损失,订单及支付系统业务 逻辑绕过等;
- 5) 严重的程序设计缺陷,可导致:大量用户敏感信息泄露,公司内部核心数 据泄露等;
- 6) 可直接导致核心系统瘫痪的拒绝服务攻击漏洞。
高危漏洞
- 1) 直接获取当前业务普通服务器或客户端权限漏洞,包括但不限于内存破 坏、逻辑权限等可利用的远程代码执行漏洞;
- 2) 重要敏感数据信息泄露漏洞,包括但不限于重要用户信息、订单信息、数 据文件信息等;
- 3) 本地代码执行漏洞,包括但不限于内存破坏、类型混淆、整数问题等导致 的可利 用本地代码执行漏洞;
- 4) 不需交互导致的重点业务漏洞,包括但不限于危害较大的存储XSS、文件遍 历、参数处理不当导致的远程拒绝服务漏洞;
- 5) 越权访问重要应用系统,包括但不仅限于绕过认证直接访问管理后台,后 台系统密码泄露等;
- 6) 影响一定范围用户账号或资金安全,包括但不限于:非核心 DB SQL 入, 可造成自动传播的存储型 XSS,涉及交易、资金、密码的 CSRF,可导致用 户账号安全的应用系统漏洞或业务逻辑缺陷等;
- 7) 重要业务系统源代码、密钥或未鉴权的 API 的泄露;
- 8) 公司内部重要数据泄露等。
中危漏洞
- 1)需交互才能对用户产生危害的安全漏洞、包括但不限于存储型XSS、json劫持、CRLF、敏感操作的CSRF等;
- 2) 普通信息泄露漏洞、包括但不限于非个人登录后泄露的手机号、姓名、交易号等个人信息;
- 3) 远程拒绝服务漏洞,包括但不限于攻击接口、页面、组件导致的拒绝服务等;
- 4) 非核心业务的逻辑漏洞,包括但不限于组件导出、权限控制不当导致的 泄露问题等。
低危漏洞
- 1) 在特殊条件下才能获取用户信息的安全漏洞,包括但不限于特定浏览器下 的反射XSS、存储XSS等;
- 2) 本地拒绝服务漏洞,包括但不限于PC端、移动端本地组件、进程的拒绝服务;
- 3) 可能存在安全隐患但利用成本很高的漏洞,包括但不限于特殊情况下的中间人攻击、需要用户连续交互的敏感安全漏洞;
- 4) 难以利用但又可能存在安全隐患的问题。包括但不限于可能引起传播和利用的Self-XSS以及非重要敏感操作的CSRF,任意URL重定向等;
- 5) 根据设备、系统、软件或框架的官方告警正在修复的漏洞。
无影响
- 1) 安全无关的产品BUG,包括但不限于产品体验或设计不好、非安全漏洞导致的服务无法访问,包括但不限于网页乱码、网页无法打开、某功能无法用等;
- 2) 无法利用或无危害的“漏洞”,包括但不限于恶作剧CSRF(对用户无实际影响)、无法影响他人的本地拒绝服务
、Self-XSS、非敏感信息泄露(内网IP、域名)等;
- 3) 无任何证据的猜测,非东方财富旗下产品的安全漏洞,该最终解释权归东方财富所有;
- 4) 基本无影响的信息泄露漏洞,包括但不限于服务器物理路径、非核心代码SVN文件泄漏、无危害的phpinfo、边缘系统文件、本地日志等;
- 5) 公司内部普通数据泄露,如:内部 IP、系统名称等;
- 6) 根据设备、系统、软件或框架的官方告警正在修复的漏洞;
- 7) 无法利用的“漏洞”。包括但不限于没有实际意义的扫描器漏洞报告(如 Web Server的低版本)、无敏感信息的JSON Hijacking、无敏感操作的
CSRF(如收藏、添加购买、非重要业务的订阅、非重要业务的普通个人资料修改等);
- 8) 无任何证据的猜测;
- 9) 可重现且无关紧要的漏洞;
- 10) 根据设备、系统、软件或框架的官方告警已经修复的漏洞;
- 11) 已发现的漏洞,包括但不限于已知的HTTP.sys远程代码执行,短文件目录枚举等。
- 12) 关于移动安全的四大常见问题,本地拒绝服务、 webview 远程命令执行、 私 有文件泄露、 https 隐私窃取等
- 13) 因业务需要,信息或数据本身是对外公开的或可查的,可忽略(比如 jsonp 劫持但无实际影响的情况等)。
附件查看完整版:EMSRC漏洞评分与奖励标准V3.0
特别声明:安全币兑换人民币渠道,通过东方财富旗下天天基金产品活期宝形式 发放给白帽子用户,由公司承担相应所得奖励的税务!最终到账金额与日期,以 天天基金的账户为准,感谢理解!