当前位置:安全客 >> 资讯详情

乐视安全应急响应中心上线啦~

2017-11-10 17:05:39 阅读:21963次 收藏 来源: 安全客 作者:乐视安全应急响应中心

http://p5.qhimg.com/t01dfa0a51f6c9c4b95.png

官方网址:http://sec.le.com/


乐视安全应急响应中心上线


不忘初心,不辱使命,异化的边缘,无底的界限,我们努力蹒跚前行,乐视安全应急响应中心( LESEE Security Response Center,简称LESRC),于秋风瑟瑟中正式上线开展弹性运营~

我们真诚地邀请:

有朝气追求极致的白帽子安全专家向我们反馈产品、业务和服务的安全漏洞,以帮助我们更好地提升产品和业务的安全性,共创安全的家庭互联智能娱乐社区。

我们将会及时确认、处理和回应!


漏洞评分标准


漏洞处理流程及评分标准 V1.0

报告阶段:

登录http://sec.le.com/在线提交漏洞

处理阶段:

乐视安全应急响应中心(以下简称LESRC)审核人员会确认收到的安全漏洞并跟进开始评估问题,必要时会与安全专家沟通确认,如下各状态解释:

在线成功提交漏洞后,漏洞状态显示【已提交】

管理员审核漏洞,漏洞状体显示【已受理】

审核确认是安全问题及评分,漏洞状态显示【已确认】

产品线已对漏洞进行修复,漏洞状态显示【漏洞结束】

审核确认不是安全问题,以及重复的漏洞【已忽略】

漏洞评分标准:

漏洞类别分为:web及系统安全漏洞、智能硬件安全漏洞,我们将分别描述其评分标准。

根据漏洞危害程度分为严重、高、中、忽略4个等级。

WEB及系统安全漏洞:

【严重漏洞】:积分13~20,乐币系数10,乐币奖励130~200

1. 直接获取核心系统权限(服务器权限)的漏洞。包括但不限于远程命令执行、任意代码执行、任意文件上传、SQL注入、缓冲区溢出等。

2. 严重的敏感信息泄露。包括但不限于核心系统(用户数据、交易信息)的SQL注入、超级管理弱密码等。

3. 严重的逻辑设计缺陷。包括但不限于核心系统的任意账号登录、任意账号密码修改、用户身份信息及订单敏感信息的遍历读取、任意金额支付购物漏洞等。

4. 严重的可直接导致核心系统瘫痪的拒绝服务攻击漏洞等。

【高危漏洞】:积分7~12,乐币系数6,乐币奖励42~72

1. 敏感信息泄露。包括但不限于可导致敏感信息泄露的SQL注入漏洞,敏感的配置信息、源代码压缩包、数据库压缩包泄露漏洞,能导致重要产品核心源代码泄露的svn、git配置不当漏洞等。

2. 敏感信息未授权访问漏洞。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息的SSRF。

3. 直接获取系统权限的漏洞。包括但不仅限于重要系统远程命令执行、任意代码执行、任意文件上传等。

4. 敏感信息越权漏洞。包括但不限于批量订单状态、用户重要信息、重要业务配置的越权修改漏洞。

5. 重要系统的逻辑设计缺陷。包括但不限于任意账号密码修改、任意账号登录等。

【中危漏洞】:积分4~6,乐币系数3,乐币奖励12~18

1. 需要交互才能产生影响的漏洞。包括但不限于可盲打的存储XSS漏洞。

2. 不涉及资金、订单、用户敏感信息的逻辑设计缺陷。包括但不限于非核心系统重要功能的越权漏洞。

3. 普通的信息泄露漏洞。包括但不限于利用难度较大的SQL注入、普通代码泄露、个别用户订单或身份信息泄露漏洞等。

【忽略漏洞】:积分0,乐币系数0,乐币奖励0

1. 不涉及安全问题的Bug。包括但不仅限于产品功能缺陷、页面乱码、样式混乱。

2. 无法利用/无实际危害的漏洞。(如Self-XSS、401钓鱼、无敏感操作的CSRF、不涉及敏感数据 的源码、数据泄露)。

3. 无法重现的漏洞、不能直接体现漏洞的其他问题。包括但不限于纯属用户猜测的问题。

4. 内部已知正在处理的漏洞(如Discuz!已在其他平台公开通用的、白帽子、内部已发现的漏洞)。

移动应用及系统漏洞标准分级:

【严重漏洞】:积分13~20,乐币系数10,乐币奖励130~200

直接获取客户端最高权限的漏洞。包括但不限于由于乐视原生ROM直接获取android系统权限,远程任意命令执行、沙箱逃逸、远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行漏洞。

【高危漏洞】:积分7~12,乐币系数6,乐币奖励42~72

移动端应用命令执行类漏洞,包括但不限于 Android WebView 远程代码执行漏洞,非核心系统的远程任意命令执行等

【中危漏洞】:积分4~6,乐币系数3,乐币奖励12~18

普通越权操作。包括但不仅限于程序任意备份,Fragment注入漏洞等。

普通逻辑设计缺陷。包括但不限于无限制短信邮件等发送等。

普通的信息泄露漏洞。包括但不限于利用难度较大的SQL注入、普通代码泄露、个别用户订单或身份信息泄露漏洞等。

 IOT硬件漏洞标准分级:

【严重漏洞】:积分13~20,乐币系数10,乐币奖励130~200

对设备进行完全控制,包括但不限于执行任意系统指令,可执行任意代码等

【高危漏洞】:积分7~12,乐币系数6,乐币奖励42~72

逻辑设计缺陷,包括但不限于简单绕过验证服务,达到未授权访问的目的。

【中危漏洞】:积分4~6,乐币系数3,乐币奖励12~18

1. 固件存在包括密钥、密码等敏感信息,包括但不限于常可进行普通越权操作。

2. 硬件拒绝服务,包括但不限于常规操作对硬件耗性能造成严重影响等。

评分标准通用原则:

评分标准仅针对乐视产品和业务。域名包括但不限于 *.le.com 、*.letv.com 、

1. *.lemall.com 、 *.lecloud.com 、 *.letvcloud.com 、*.letvstore.com 、*.leeco.com,*.wangjiu.com产品包括:乐视手机、乐视电视、乐视路由器、乐视行车记录仪、乐视超级头盔、乐视超级自行车、乐小宝、乐视随身看。

2. 乐视投资的业务以及与乐视合作的第三方业务的漏洞,根据漏洞对乐视业务是否造成影响进行评分,不论漏洞严重性和数量,评分漏洞危害系数不超过4,等级为中;使用了乐视域名,但并没有对乐视业务造成影响的第三方合作漏洞,进行忽略处理。

3. 使用了乐视域名,但是服务器不在乐视网段的第三方漏洞,一律忽略处理;乐视合作的第三方业务使用的域名包括但不限于(*.hz.letv.com,*.hezuo.letv.com,*.hz.le.com);

4. 同一个漏洞源产生的多个漏洞,按照同一个漏洞处理,只给首位提交者奖励。

5. 同一漏洞最早提交者得分,其他提交者均不计分,与乐视完全无关的漏洞不计分,在其它平台提交过的漏洞不计分

6. 同一漏洞导致的多个利用点按照高危或严重等级执行如:同一系统引起的多个页面的 XSS漏洞、框架导致的整站 XSS/CSRF漏洞、泛域名解析产生的多个 XSS漏洞等等。

7. 外界已经公开的漏洞不计分

8. 在漏洞未修复之前,被公开的漏洞不计分。

9. 以漏洞挖掘为借口,利用漏洞进行伤害用户利益、影响业务运作、盗取用户数据、未修复前公开等行为,将不会通过审核。

10. 第三方产品通用漏洞审核原则:包括但不限于乐视公司正在使用的WordPress、phpcms、discuz、Flash插件产生的漏洞,Apache等服务端相关组件、OpenSSL、第三方SDK等产生的漏洞等。提交的漏洞公开时间在一个月内,乐视公司如已从其他渠道获知,则不审核通过;如乐视公司仍不知情,或者漏洞公开时间超过一个月,乐视公司存在仍未修复的漏洞,则给第一个提交者奖励,等级一般不高于中危。

11. 以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,将不会给予审核通过,同时乐视集团保留采取进一步法律行动的权利。


礼品商城


我们为白帽子准备了丰富的奖品:

http://p3.qhimg.com/t013cae9037fcc4e924.png

X65S

http://p7.qhimg.com/t0122133907fd1730d8.png

乐视盒子U4 Pro


联系我们


官方网址:http://sec.le.com/

官方微博:http://weibo.com/lesrc

官方邮箱:lesrc@le.com



本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/news/detail/4376.html

参与讨论,请先 | 注册 | 匿名评论
发布
用户评论
魂淡p 2017-11-17 18:23:07
回复 |  点赞

“4. 内部已知正在处理的漏洞(如Discuz!已在其他平台公开通用的、白帽子、内部已发现的漏洞)。” ??????

大表哥 2017-11-13 10:28:19
回复 |  点赞

不太会挖汽车漏洞【手动滑稽】

丶訫情 2017-11-12 17:13:32
回复 |  点赞

【严重漏洞】:积分13~20,乐币系数10,乐币奖励130~200 其中,兑换一个乐视盒子U4 Pro,需要240乐币。 而,京东上乐视盒子U4 Pro只需要3,4百块,谁TM去提交漏洞啊

Mickey牛 2017-11-11 15:57:06
回复 |  点赞

贵公司还活着?

查看更多