目 录 一. 基 本 原 则... 4 二. 漏 洞 反 馈 和 处 理 流 程... 4 预 报 告 阶 段... 4 报 告 阶 段... 4 处 理 阶 段... 4 修 复 阶 段... 4 完 成 阶 段... 5 三. 安 全 漏 洞 评 分 标 准... 5 严 重... 5 高 危.

联 想 安 全 响 应 中 心 漏 洞 处 理 流 程 V2.0 版 本 内 容 日 期 V 2.0 更 新 奖 励 评 分 标 准 ; 更 新 FAQ 2016-4-1 V 1.0 发 布 第 一 版 2015-4-1

目 录 一. 基 本 原 则... 4 二. 漏 洞 反 馈 和 处 理 流 程... 4 预 报 告 阶 段... 4 报 告 阶 段... 4 处 理 阶 段... 4 修 复 阶 段... 4 完 成 阶 段... 5 三. 安 全 漏 洞 评 分 标 准... 5 严 重... 5 高 危... 5 中 危... 6 低 危... 6 忽 略... 6 四. 评 分 标 准 通 用 原 则... 7 试 用 范 围... 7 通 用 型 漏 洞... 7 其 它 细 则... 7 禁 止 以 下 行 为... 8 五. 奖 励 发 放 原 则... 8 常 规 奖 励... 8 月 度 奖 励... 9 特 殊 贡 献 奖 励... 9 六. 争 议 解 决 办 法... 9

FAQ... 10

一. 基 本 原 则 1. 联 想 对 自 身 产 品 和 业 务 的 安 全 问 题 非 常 重 视, 也 一 直 致 力 于 保 障 用 户 安 全, 我 们 希 望 通 过 联 想 公 司 安 全 响 应 中 心 加 强 与 业 界 个 人. 组 织 及 公 司 密 切 合 作, 来 提 升 联 想 的 整 体 安 全 水 平 2. 联 想 对 于 保 护 用 户 利 益, 帮 助 联 想 安 全 提 升 的 白 帽 子 黑 客, 我 们 给 予 感 谢 和 回 馈, 每 一 位 报 告 者 反 馈 的 问 题 都 有 专 人 进 行 跟 进. 分 析 和 处 理, 并 及 时 给 予 答 复 3. 联 想 反 对 和 谴 责 一 切 以 漏 洞 测 试 为 借 口, 利 用 安 全 漏 洞 进 行 破 坏. 损 害 用 户 利 益 的 黑 客 行 为, 包 括 但 不 限 于 利 用 漏 洞 盗 取 用 户 资 料. 入 侵 业 务 系 统. 修 改. 窃 取 相 关 系 统 资 料. 恶 意 传 播 漏 洞 或 数 据 4. 联 想 认 为 每 个 安 全 漏 洞 的 处 理 与 整 个 安 全 行 业 的 进 步, 都 离 不 开 各 方 的 共 同 合 作 希 望 企 业. 安 全 公 司. 安 全 组 织. 安 全 研 究 者 一 起 加 入 到 " 合 作 式 的 漏 洞 披 露 和 处 理 " 过 程 中 来, 一 起 为 建 设 安 全 健 康 的 互 联 网 而 努 力 二. 漏 洞 反 馈 和 处 理 流 程 预 报 告 阶 段 漏 洞 报 告 者 登 陆 联 想 安 全 中 心 漏 洞 反 馈 平 台 http://lsrc.lenovo.com 注 册 帐 号 报 告 阶 段 漏 洞 报 告 者 登 陆 联 想 SRC 反 馈 平 台, 提 单 反 馈 漏 洞 ( 状 态 : 待 审 核 ) 处 理 阶 段 一 个 工 作 日 内, 联 想 安 全 响 应 中 心 ( 以 下 简 称 LSRC) 工 作 人 员 会 确 认 收 到 的 漏 洞 报 告 并 跟 进 开 始 评 估 问 题 ( 状 态 : 审 核 中 ) 三 个 工 作 日 内,LSRC 工 作 人 员 处 理 问 题 给 出 结 论 并 计 分 ( 状 态 : 已 确 认 / 已 忽 略 ) 必 要 时 会 与 报 告 者 沟 通 确 认, 请 报 告 者 予 以 协 助 修 复 阶 段 业 务 部 门 修 复 安 全 漏 洞 并 安 排 更 新 上 线 ( 状 态 : 已 修 复 )

漏 洞 报 告 者 复 查 安 全 问 题 是 否 修 复 ( 状 态 : 已 复 查 / 复 查 异 议 ) 完 成 阶 段 LSRC 每 月 第 一 周 内, 发 布 上 月 漏 洞 处 理 公 告, 公 布 月 度 奖 励 名 单 三. 安 全 漏 洞 评 分 标 准 根 据 漏 洞 危 害 程 度 分 为 严 重. 高 危. 中 危. 低 危. 忽 略 五 个 等 级, 每 个 漏 洞 所 得 安 全 币 由 漏 洞 对 应 用 的 危 害 程 度 以 及 应 用 的 重 要 程 度. 利 用 难 度. 影 响 范 围 等 综 合 因 素 决 定 : 安 全 币 = 基 础 安 全 币 * 业 务 等 级 系 数 每 个 等 级 涵 盖 的 漏 洞 以 及 评 分 标 准 如 下 : 严 重 核 心 系 统 应 用 中 的 高 危 漏 洞, 业 务 等 级 系 数 1-10, 基 础 安 全 币 9-10, 本 等 级 包 括 : 1. 直 接 获 取 系 统 权 限 ( 服 务 器 端 权 限. 客 户 端 权 限 ) 的 漏 洞 包 括 但 不 仅 限 于 : 命 令 注 入. 远 程 命 令 执 行. 上 传 获 取 WebShell.SQL 注 入 获 取 系 统 权 限. 缓 冲 区 溢 出 2. 直 接 导 致 拒 绝 服 务 的 漏 洞 包 括 但 不 仅 限 于 远 程 拒 绝 服 务 漏 洞 3. 严 重 的 逻 辑 设 计 缺 陷 包 括 但 不 仅 限 于 任 意 账 号 登 陆. 任 意 账 号 密 码 修 改. 任 意 账 号 资 金 消 费. 订 单 遍 历. 交 易 支 付 方 面 的 严 重 问 题 4. 严 重 级 别 的 信 息 泄 漏 包 括 泄 漏 大 量 用 户 信 息 泄 露 或 联 想 机 密 信 息 高 危 一 般 系 统 应 用 中 的 高 危 漏 洞, 业 务 等 级 系 数 1-10, 基 础 安 全 币 6-8, 本 等

级 包 括 : 1. 越 权 访 问 包 括 但 不 仅 限 于 绕 过 认 证 直 接 访 问 管 理 后 台 可 操 作. 核 心 业 务 非 授 权 访 问. 核 心 业 务 后 台 弱 密 码 等 2. 能 直 接 盗 取 关 键 业 务 用 户 身 份 信 息 的 漏 洞 重 点 页 面 的 存 储 型 XSS 漏 洞. 普 通 站 点 的 SQL 注 入 漏 洞 等 3. 高 风 险 的 信 息 泄 漏 漏 洞 包 括 但 不 限 于 源 代 码 压 缩 包 泄 漏 4. 访 问 任 意 系 统 文 件 的 漏 洞, 包 括 但 不 限 于 任 意 文 件 包 含. 任 意 文 件 读 取 中 危 业 务 等 级 系 数 1-10, 基 础 安 全 币 3-5, 本 等 级 包 括 : 1. 普 通 信 息 泄 露 包 括 但 不 仅 限 于 客 户 端 明 文 密 码 存 储 2. 普 通 越 权 操 作 包 括 但 不 仅 限 于 越 权 查 看 非 核 心 系 统 的 订 单 信 息. 记 录 等 3. 需 交 互 才 能 获 取 用 户 身 份 信 息 的 漏 洞 包 括 但 不 限 于 普 通 业 务 的 存 储 型 XSS 低 危 业 务 等 级 系 数 1-4, 基 础 安 全 币 1-2, 本 等 级 包 括 : 1. 轻 微 信 息 泄 露 包 括 但 不 仅 限 于 反 射 型 XSS( 包 括 反 射 型 DOM-XSS).JSONHijacking.CSRF. 路 径 信 息 泄 露.svn 信 息 泄 露.phpinfo. 目 录 遍 历 2. 难 以 利 用 但 存 在 安 全 隐 患 的 漏 洞 包 括 但 不 仅 限 于 IIS 短 文 件 名 / 目 录 枚 举 3. 普 通 的 逻 辑 设 计 缺 陷 和 流 程 缺 陷 包 括 但 不 仅 限 于 无 验 证 码 或 验 证 码 无 效 忽 略 分 值 0 分, 本 等 级 包 括 : 1. 不 涉 及 安 全 问 题 的 bug 包 括 但 不 仅 限 于 产 品 功 能 缺 陷. 页 面 乱 码. 样 式 混 乱 2. 无 法 利 用 的 漏 洞 包 括 但 不 仅 限 于 Self-XSS 3.URL 跳 转

4. 不 能 重 现 的 漏 洞 包 括 但 不 仅 限 于 经 联 想 安 全 应 急 响 应 中 心 专 员 确 认 无 法 重 现 的 漏 洞 5. 纯 属 用 户 猜 测 的 问 题 四. 评 分 标 准 通 用 原 则 试 用 范 围 评 分 标 准 仅 适 用 于 联 想 产 品 和 服 务, 域 名 包 括 但 不 限 于.lenovo.com.lenovo.com.cn.lenovo.cn.lenovo.net.fm365.com..thinkworldshop.com.cn.lenovocloud.com.lenovomm.com.lenovocare.com.cn.lenovomobile.com. 与 联 想 完 全 无 关 的 漏 洞, 不 予 审 核 通 过 通 用 型 漏 洞 1) 服 务 端 : 包 括 但 不 限 于 联 想 公 司 正 在 使 用 的 WordPress.phpcms.discuz.Flash 插 件 产 生 的 漏 洞,Apache 等 服 务 端 相 关 组 件.OpenSSL. 第 三 方 SDK 等 产 生 的 漏 洞 等 提 交 的 漏 洞 公 开 时 间 在 一 个 月 内, 联 想 如 已 从 其 他 渠 道 获 知, 则 不 与 审 核 通 过 ; 如 漏 洞 公 开 时 间 超 过 一 个 月 且 存 在 仍 未 发 现 的 漏 洞, 则 给 第 一 个 提 交 者 奖 励, 等 级 一 般 不 高 于 中 危 2) 客 户 端 : 包 括 但 不 限 于 android 原 生 漏 洞,app 通 用 漏 洞 等 提 交 的 漏 洞 公 开 时 间 在 三 个 月 内, 联 想 如 已 从 其 他 渠 道 获 知, 则 不 与 审 核 通 过 ; 如 联 想 公 司 仍 不 知 情, 或 者 漏 洞 公 开 时 间 超 过 三 个 月, 联 想 仍 存 在 未 修 复 的 漏 洞, 则 给 第 一 个 提 交 者 奖 励, 等 级 一 般 不 高 于 中 危 其 它 细 则 1. 漏 洞 奖 励 仅 限 于 首 次 在 联 想 安 全 响 应 中 心 反 馈 平 台 上 提 交 的 漏 洞, 在 其 它 平

台 上 提 交 过 的, 同 一 漏 洞 非 首 次 提 交 的, 均 不 予 审 核 通 过 2. 同 一 个 漏 洞 源 产 生 的 多 个 漏 洞 一 般 只 给 第 一 个 提 交 者 奖 励, 且 漏 洞 数 量 记 为 一 个 3. 对 于 同 一 个 链 接 url, 如 果 多 个 参 数 存 在 多 个 类 似 的 漏 洞, 视 情 况 进 行 合 并, 同 一 链 接 不 同 类 型 漏 洞, 按 危 害 程 度 最 大 的 给 出 奖 励 4. 提 交 漏 洞 报 告 时 提 供 完 整 的 漏 洞 发 现 方 式, 满 足 此 条 件 的 漏 洞 报 告 在 漏 洞 审 核 中 会 酌 情 加 分, 并 有 机 会 参 与 评 选 高 质 量 漏 洞 奖 ; 对 于 poc 或 exploit 未 提 供 或 者 没 有 详 细 分 析 的 漏 洞 提 交 将 直 接 影 响 该 漏 洞 的 评 定 5. 各 漏 洞 的 最 终 审 核 情 况 由 漏 洞 利 用 难 易 程 度. 危 害 大 小 及 影 响 范 围 综 合 考 虑 决 定 6. 拒 绝 无 实 际 危 害 证 明 的 扫 描 器 结 果 禁 止 以 下 行 为 1. 禁 止 以 暴 力 枚 举 的 方 式 重 复 对 同 一 站 点 进 行 账 号 密 码 的 猜 解 2. 漏 洞 只 需 证 明 其 存 在 并 可 利 用 即 可, 禁 止 利 用 漏 洞 进 行 非 法 操 作, 包 括 但 不 限 于 : 拖 库 进 入 内 网, 情 节 严 重 者 将 取 消 该 用 户 所 有 安 全 币 3. 禁 止 以 测 试 漏 洞 为 借 口, 利 用 漏 洞 进 行 损 害 用 户 利 益 影 响 业 务 运 作 盗 取 用 户 数 据 等 行 为 的, 将 不 会 审 核 通 过, 同 时 联 想 保 留 采 取 进 一 步 法 律 行 动 的 权 利 五. 奖 励 发 放 原 则 常 规 奖 励 自 联 想 安 全 响 应 中 心 漏 洞 反 馈 处 理 流 程 说 明 V2.0 上 线 之 日 起,LSRC 将 采 用 全 新 奖 励 体 系 漏 洞 报 告 者 通 过 报 告 漏 洞 获 得 安 全 币 ( 用 于 LSRC 礼 品 商 城 兑 换 的 一 种 虚 拟 货 币 ), 安 全 币 数 量 = 基 础 安 全 币 * 业 务 等 级 系 数 1. 多 个 漏 洞 产 生 的 安 全 币 可 累 加, 除 非 特 别 声 明, 未 使 用 的 安 全 币 不 会 过 期

2. 安 全 币 可 以 通 过 安 全 币 商 城 兑 换 相 应 的 奖 品 月 度 奖 励 为 鼓 励 漏 洞 报 告 者 提 交 高 质 量 的 漏 洞,LSRC 每 月 将 对 漏 洞 提 交 者 提 交 的 漏 洞 进 行 数 量 及 质 量 的 综 合 评 估, 评 选 出 月 度 Top3 进 行 奖 励 具 体 评 选 要 求 : 1. 当 月 累 计 安 全 币 达 150 个 以 上 ; 2. 当 月 提 交 的 漏 洞 中 至 少 含 有 2 个 高 危 漏 洞 ; 3. 若 当 月 没 有 符 合 要 求 的 漏 洞 提 交 者, 则 此 奖 项 空 缺 特 殊 贡 献 奖 励 为 鼓 励 漏 洞 报 告 者 提 交 高 质 量 的 漏 洞,LSRC 新 增 每 月 特 殊 贡 献 奖, 具 体 奖 励 名 额 根 据 当 月 漏 洞 质 量 而 定, 无 上 限, 也 可 能 空 缺 具 体 评 选 要 求 : 1. 思 路 新 颖, 对 联 想 业 务 安 全 做 出 突 出 贡 献 的 报 告 者 ; 2. 提 交 对 联 想 业 务 有 较 大 影 响 的 严 重 或 高 危 漏 洞 的 报 告 者 ; 3. 若 当 月 没 有 高 质 量 漏 洞 提 交 者 或 其 它 突 出 贡 献 者, 则 该 奖 项 空 缺 4. 当 月 已 获 得 月 度 奖 励 的 漏 洞 报 告 者, 原 则 上 不 再 参 与 贡 献 奖 励 的 评 选, 贡 献 特 别 突 出 者 除 外 当 月 奖 品 将 在 次 月 第 一 周 寄 出 如 因 报 告 者 未 能 完 善 资 料 导 致 的 延 误, 将 顺 延 至 下 个 月 批 量 寄 送 时 寄 出 ; 如 因 报 告 者 资 料 不 全 ( 或 资 料 错 误 ). 快 递 公 司 问 题 及 人 力 不 可 抗 拒 因 素 产 生 的 奖 品 丢 失,LSRC 不 承 担 责 任 六. 争 议 解 决 办 法

在 漏 洞 处 理 过 程 中, 如 果 报 告 者 对 处 理 流 程. 漏 洞 评 定. 漏 洞 评 分 等 具 有 异 议 的, 请 通 过 邮 件 :lsrc@lenovo.com 并 以 邮 件 标 题 联 想 漏 洞 处 理 异 议 进 行 反 馈, 我 们 会 有 专 门 工 作 人 员 负 责 优 先 处 理 此 类 反 馈 LSRC 将 按 照 漏 洞 报 告 者 利 益 优 先 的 原 则 处 理, 必 要 时 可 引 入 外 部 安 全 人 士 共 同 裁 定 目 前, 联 想 安 全 漏 洞 反 馈 平 台 不 断 发 展 之 中, 可 能 还 存 在 着 很 多 需 要 改 进 和 完 善 的 地 方, 敬 请 谅 解 如 果 您 有 更 好 的 意 见 和 想 法, 可 以 通 过 邮 件 (lsrc@lenovo.com) 与 我 们 沟 通. 交 流 FAQ Q1: 采 用 新 漏 洞 评 分 标 准 后, 白 帽 子 原 有 的 积 分 怎 么 办? A: 白 帽 子 原 有 积 分 将 以 1:1 的 比 例 换 算 成 安 全 币 Q2:LSRC 平 台 的 1 安 全 币 相 当 于 多 少 人 民 币? A: 根 据 奖 励 标 准,LSRC 平 台 1 安 全 币 约 等 于 5 元 人 民 币