公告详情

公告详情:JSRC是一个成长的平台,我们的成长需要各位白帽子师傅共同的陪伴。20174月开始,JSRC平台开始接收0-dayJD插件漏洞。

 

通用软件漏洞评分标准

     1.通用软件漏洞奖励计划适用于各种京东使用的通用软件,优先但不限于以下列表:

  Web服务器:TomcatNginx

  操作系统:AndroidIOSLinux

  开源框架/组件:SpringStrutsOpenSSL

  开发语言:JAVAPHPRubyNode.js

  数据库系统:MySQLRedis

      2.提交通用软件漏洞,需要提供完整可用的poc。

      3.漏洞评分根据漏洞危害程度,按照业务漏洞评分标准执行。
4.对于影响巨大的漏洞会给予额外的现金奖励,最高额度50万,并且JSRC会以漏洞报告者的名义向该漏洞对应的官方发出通告,帮助其改进软件安全性。

 

漏洞扫描插件收录标准

一、漏洞扫描插件标准

a)     符合漏洞扫描插件编写规范。

b)     2015年至今出现的通用组件漏洞。

c)     必须在开源软件清单内,详情参考《开源软件清单》。

d)     漏洞必须是中危及以上级别漏洞。

e)     需要提供至少1个存在此漏洞的网站,以实例证明危害。

 

二、插件编写规范

a)     必须采用Python语言编写。

b)     不可使用Python第三方库。

c)     不得对目标系统直接或者间接造成损害,如造成宕机、数据删除等严重后果,责任均由插件作者承担。

d)     插件误报率不可超过5%

e)     必须按照京东漏洞扫描器插件模板编写,具体参考poc_demo.py编写,有任何疑问加QQ群:523943992

 

三、评分标准

漏洞扫描插件是根据漏洞影响范围、漏洞危害级别、插件代码质量3个标准进行评分。

 

a)     漏洞影响范围

 漏洞影响范围是根据京东现有信息资产进行评估,如果京东未使用存在此漏洞的【开源软件】或此扫描插件已有白帽子提  交,则不收录此插件,分数为0

 

b)     漏洞危害级别

 严重漏洞:(分值 9~10 分)

1、 直接获取系统权限(服务器端权限、客户端权限)的漏洞。包括但不仅限于:命令注入、远程命令执行、上传获WebShellSQL 注入获取系统权限、缓冲区溢出(包括可利用的 ActiveX 缓冲区溢出)。

2、 直接导致拒绝服务的漏洞。包括但不仅限于远程拒绝服务漏洞。

3、 严重的逻辑设计缺陷。包括但不仅限于任意账号登陆、任意账号密码修改、任意账号资金消费、订单遍历、交易支付方面的严重问题。

4、 严重级别的信息泄漏 。包括但不限于重要 DB SQL 注入漏洞、包含敏感信息 ( DB 连接密码)的源代码压缩包泄漏。

 高危漏洞:(分值 6~8 分)

1、 越权访问。包括但不仅限于绕过认证直接访问管理后台可操作、核心业务非授权访问、核心业务后台弱密码等。

2、能直接盗取商城、网银等关键业务等用户身份信息的漏洞。包括:重点页面的存储型 XSS 漏洞、普通站点的 SQL 注入漏洞。

3、高风险的信息泄漏漏洞。包括但不限于源代码压缩包泄漏。

 中危漏洞:(分值 3~5 分)

1、 普通信息泄露。包括但不仅限于客户端明文密码存储。

2、需交互才能获取用户身份信息的漏洞。包括但不限于反射型 XSS(包括反射型 DOMX SS)JSON HijackingCSRF、普通业务的存储型 XSS

 

c)     插件代码质量

 1、 程序逻辑清晰

 2、 代码可读性强

 3、 编码规范

 4、 严格按照京东漏洞扫描器插件编写规范编写。

 

四、      注意事项

a)     凡是在京东提交过的漏洞扫描插件,一律不可在其它平台上提交,如有发现,扣除所有积分。

b)     同一漏洞扫描插件有多位白帽子提交,只奖励首个提交的白帽子。

c)     最终解释权归京东安全应急响应中心所有。

 

欢迎大家针对本次活动向我们反馈建议,反馈方式:security@jd.com

欢迎大家关注京东安全响应中心官方微博,官方微信:

1. 京东安全中心新浪微博:http://weibo.com/u/3221100650

2. 京东安全中心微信公众号:jsrc_team