周三大事件JSRC漏洞评分规则6.0出炉啦!
距离上次评分规则的更新已有一年,这一年来,我们将所有收集到的来自白帽子的反馈、争议进行整理分析,不断求取白帽子和同行意见,反复修改。今天,规则6.0终于出炉啦,感谢对此规则给予过建议的朋友,在此要特别感谢Jinone、花生、v清风、Alice对本规则的大力帮助。
下面就和小妹一起看看新版评分规则主要有哪些重要更新吧~
1.积分计算方式
首先一个比较大的更新是漏洞积分的计算方式,新版规则根据涉及数据的敏感程度及业务重要性,按核心、一般、边缘业务分别计算分数,更贴近业务实际场景,计算公式为:漏洞积分 = 基础积分 * 业务的等级系数如下表:
表1 积分范围参考
并且大家可以看到,本次更新将所有业务等级的系数都上调了,因此奖励也是上浮了不少,核心业务单个漏洞最高7500元的奖励!!说的我都心动了,来看看具体的漏洞奖励列表吧:
表2 漏洞价值范围参考(单位:元)
注:同时,我们的特殊漏洞现金奖励计划没有变化,最高50w人民币的现金奖励,等你来拿!
2.漏洞报告打赏
新版评分规则除了在积分计算方式上有所改变,更是新增一个加分项,即:高质量漏洞报告积分奖励
对于漏洞描述详细、报告内容完整、思路清晰的漏洞报告,审核人员将对报告者进行额外奖励(奖励分数范围10-100,即50元—500元的鼓励)
规范书写报告既能锻炼自己的文档能力,又能拿到大于等于1个中危漏洞的奖励,何乐而不为呢~
该项奖励已经实行一段时间,到目前为止已有4位白帽子获得这项奖励:
3.业务范围更新
为了方便大家测试,本次规则对漏洞测试范围进行了更新,不仅补充了web测试范围、还新增了APP和IOT的测试范围:
京东商城:
*.jd.com、*.jd.hk等;
1号店:
*.yhd.com、*.yihaodian.com等;
京东物流
*.jdwl.com 等;
京东海外
*.joybuy.com、*.jd.ru 、*.jd.co.th 、*.jd.id等;
京东医药
*.healthjd.com、*.yiyaojd.com等;
7fresh:
*.7fresh.com等;
京东金融:
*.jr.jd.com、*.baitiao.com、*.jdpay.com、 *.wangyin.com等;
京东云:
*.jcloud.com、*.jdcloud.com 等;
京东App重点关注:
拍拍二手,7Fresh,1号店 ,京东阅读,手机京东,TOPLIFE,京东微联,JD.id(印尼版本),JOYBUY(俄罗斯版本)等
IOT业务范围:
核心产品:叮咚二代、Top 、微联硬件
一般产品:A1/A1X
边缘产品:Q1、Q3、A3
以上,我们依据业务受漏洞影响的重要程度做了业务等级划分,仅为JSRC评分之目的使用
4.漏洞的挂起和复查
新增了漏洞的挂起阶段,白帽子在提交漏洞时,若有漏洞描述不清晰或者证据不充分导致漏洞无法复现的问题,审核人员会将漏洞设置为挂起状态,以减少误忽略的情况。
漏洞复查阶段,白帽子可对状态为已修复的问题进行复查,若问题仍存在,可再次提交反馈。JSRC已确认的漏洞,3个月后复查若问题仍然存在,无论漏洞当前状态,均可再次提交。(赚钱的法子都写在这里了,别说我没告诉你)
5.其他
除了以上这些大的变化,新规6.0还有以下小改动:
1.高、中、低、无危害漏洞部分内容调整
2. 威胁情报内容及范围更新
3. 威胁情报评分标准更新
4.通用原则条目部分更新
本规则将于下周二即2018.7.24开始实行