JSRC漏洞评分新规则:系数全面上调、优质报告“加鸡腿”价值≥1个中危

周三大事件JSRC漏洞评分规则6.0出炉啦!

距离上次评分规则的更新已有一年,这一年来,我们将所有收集到的来自白帽子的反馈、争议进行整理分析,不断求取白帽子和同行意见,反复修改。今天,规则6.0终于出炉啦,感谢对此规则给予过建议的朋友,在此要特别感谢Jinone、花生、v清风、Alice对本规则的大力帮助。

下面就和小妹一起看看新版评分规则主要有哪些重要更新吧~

1.积分计算方式

首先一个比较大的更新是漏洞积分的计算方式,新版规则根据涉及数据的敏感程度及业务重要性,按核心、一般、边缘业务分别计算分数,更贴近业务实际场景,计算公式为:漏洞积分 = 基础积分 * 业务的等级系数如下表:

微信图片_20180718175714

表1  积分范围参考

并且大家可以看到,本次更新将所有业务等级的系数都上调了,因此奖励也是上浮了不少,核心业务单个漏洞最高7500元的奖励!!说的我都心动了,来看看具体的漏洞奖励列表吧:

微信图片_20180718175718

表2  漏洞价值范围参考(单位:元)

注:同时,我们的特殊漏洞现金奖励计划没有变化,最高50w人民币的现金奖励,等你来拿!

2.漏洞报告打赏

新版评分规则除了在积分计算方式上有所改变,更是新增一个加分项,即:高质量漏洞报告积分奖励

对于漏洞描述详细、报告内容完整、思路清晰的漏洞报告,审核人员将对报告者进行额外奖励(奖励分数范围10-100,即50元—500元的鼓励)

规范书写报告既能锻炼自己的文档能力,又能拿到大于等于1个中危漏洞的奖励,何乐而不为呢~

该项奖励已经实行一段时间,到目前为止已有4位白帽子获得这项奖励:

微信图片_20180718175723

3.业务范围更新

为了方便大家测试,本次规则对漏洞测试范围进行了更新,不仅补充了web测试范围、还新增了APP和IOT的测试范围:

京东商城:

*.jd.com、*.jd.hk等;

1号店:

*.yhd.com、*.yihaodian.com等;

京东物流

*.jdwl.com 等;

京东海外

*.joybuy.com、*.jd.ru 、*.jd.co.th 、*.jd.id等;

京东医药

*.healthjd.com、*.yiyaojd.com等;

7fresh:

*.7fresh.com等;

京东金融:

*.jr.jd.com、*.baitiao.com、*.jdpay.com、 *.wangyin.com等;

京东云:

*.jcloud.com、*.jdcloud.com 等;

京东App重点关注:

拍拍二手,7Fresh,1号店  ,京东阅读,手机京东,TOPLIFE,京东微联,JD.id(印尼版本),JOYBUY(俄罗斯版本)等

IOT业务范围:

核心产品:叮咚二代、Top 、微联硬件

一般产品:A1/A1X

边缘产品:Q1、Q3、A3

以上,我们依据业务受漏洞影响的重要程度做了业务等级划分,仅为JSRC评分之目的使用

4.漏洞的挂起和复查

在新版评分规则的漏洞反馈和处理流程中微信图片_20180718175710

新增了漏洞的挂起阶段,白帽子在提交漏洞时,若有漏洞描述不清晰或者证据不充分导致漏洞无法复现的问题,审核人员会将漏洞设置为挂起状态,以减少误忽略的情况。

漏洞复查阶段,白帽子可对状态为已修复的问题进行复查,若问题仍存在,可再次提交反馈。JSRC已确认的漏洞,3个月后复查若问题仍然存在,无论漏洞当前状态,均可再次提交。(赚钱的法子都写在这里了,别说我没告诉你)

5.其他

除了以上这些大的变化,新规6.0还有以下小改动:

1.高、中、低、无危害漏洞部分内容调整

2. 威胁情报内容及范围更新

3. 威胁情报评分标准更新

4.通用原则条目部分更新

本规则将于下周二即2018.7.24开始实行

上一篇:中国信息通信研究院携手亚信安全打造“一体化”管理平台

下一篇:如何使用 IDAPython 寻找漏洞