公告编号:MCDSRC2022-2作者:mcdcn发布日期:2022/01/29
白帽子访问麦当劳中国安全应急响应中心(https://security.mcd.cn),通过注册生成账号。
白帽子可通过麦当劳中国安全应急响应中心反馈平台(https://security.mcd.cn)提交安全漏洞详情和复现方式流程(状态:审核中)。
平台收到漏洞后,审核人员将在第一时间着手验证漏洞,在三个工作日内给出结论(已确认 or 已忽略)。如遇复杂情况,审核时效可能延长,但一般不超过十个工作日。处理过程中请勿外泄任何有关漏洞的信息,必要时审核人员会与提交者沟通确认,届时请提交者予以协助。
如果审核人员无法通过现有漏洞详情内容确定漏洞有效性,可要求白帽子补充安全漏洞详情内容,白帽子需在三日内对漏洞详情进行编辑,逾期自动忽略。对于经验证后无影响或无效的漏洞,审核人员可主动选择忽略(将会注明忽略理由),所忽略漏洞不计奖励。
审核人员复现并确认白帽子上报的漏洞之后则会进入修复阶段,修复时间根据漏洞严重程度及修复难度而定,一般来说,严重和高风险漏洞 24 小时内,中风险三个工作日内,低风险七个工作日内。客户端漏洞受版本发布限制,修复时间根据实际情况确定。
漏洞确认修复之后会将漏洞状态更改为已修复,届时会邀请白帽子协助复测该漏洞是否已成功修复或修复方案能否被 Bypass,如未成功修复或被 Bypass,麦当劳中国安全应急响应中心应给予额外奖励。
麦当劳中国安全应急响应中心感谢每位提交漏洞的白帽子,每个漏洞已于确认之后会按照评分标准给予相应安全币奖励,安全币可在麦当劳中国安全应急响应中心(https://security.mcd.cn)兑换礼品,此外麦当劳中国安全应急响应中心会不定期举办相应线上/线下活动,会优先邀请平台核心安全研究员参加。
由漏洞对应危害程度以及业务重要程度决定
贡献值计算公式:贡献值 = 基础贡献值 * 业务系数
(贡献值用于英雄榜排名,长期累积不清除)
基础贡献值
业务系数 |
严重漏洞 (20~50) |
高危漏洞 (10~20) |
中危漏洞 (3~4) |
低危漏洞 (1~2) |
核心业务 (10) | 200~500 | 100~200 | 30~40 | 10~20 |
一般业务 (4) | 80~200 | 40~80 | 12~16 | 4~8 |
边缘业务 (1) | 20~50 | 10~20 | 3~4 | 1~2 |
安全币由漏洞对应危害程度以及业务重要程度决定
安全币计算公式:安全币 = 基础安全币 * 业务系数
(安全币用于礼品兑换,* 1安全币=1元RMB)
基础安全币
业务系数 |
严重漏洞 (200~500) |
高危漏洞 (100~200) |
中危漏洞 (30~40) |
低危漏洞( 1~20) |
核心业务 (10) | 2000~5000 | 1000~2000 | 300~400 | 10~200 |
一般业务 (4) | 800~2000 | 400~800 | 120~160 | 4~80 |
边缘业务 (1) | 200~500 | 100~200 | 30~40 | 1~20 |
麦当劳中国安全应急响应中心(https://security.mcd.cn)根据该评分标准(以下)将安全漏洞分为五个等级,分别为:严重、高危、中危、低危、无影响。由麦当劳中国安全应急响应中心结合利用场景和危害程度及业务的重要程度等综合因素给予相应分值和漏洞评级。
1、直接获取系统权限(服务器端权限、客户端权限)的漏洞。包括但不仅限于命令注入、远程命令执行、上传获取 WebShell、SQL 注入获取系统权限等;
2、严重的逻辑设计缺陷。包括但不仅限于任意账号登陆、任意账号密码修改、任意账号资金消费、交易支付方面的严重问题等;
3、严重级别的信息泄漏。包括但不限于核心 DB 的 SQL 注入漏洞、可获得大量用户敏感信息等;
4、直接导致核心业务拒绝服务的漏洞。包括但不仅限于远程拒绝服务漏洞等。
1、越权访问,包括但不仅限于绕过认证直接访问管理后台可操作、核心业务非授权访问、核心业务后台弱密码等;
2、能直接盗取对外关键业务的用户身份信息的漏洞。包括但不限于重点页面的存储型XSS漏洞、普通站点的 SQL注入漏洞等;
3、高风险的信息泄漏漏洞。包括但不限于可直接利用的敏感数据泄漏,可导致站点大量用户身份信息泄露的漏洞或直接对业务造成高风险的信息。
1、普通信息泄露。包括但不仅限于客户端明文密码存储等;
2、需交互才能获取用户身份信息的漏洞,包括但不限于反射型 / DOM XSS、JSON
Hijacking、CSRF、普通业务的存储型XSS等;
3、非敏感功能越权操作。
1、轻微信息泄露。包括但不仅限于路径信息泄露、svn 信息泄露、phpinfo、异常信息泄露等;
2、URL跳转;
3、本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),由 Android 组件权限暴露、普通应用权限引起的问题等;
4、难以利用但又可能存在安全隐患的问题。包括但不限于可能引起传播和利用的 Self-XSS、非重要的敏感操作 CSRF 以及需借助中间人攻击的远程代码执行漏洞
1、不涉及安全问题的Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题等;
2、不能直接反映漏洞存在的其他问题,包括但不仅限于纯属上报者猜测等问题等;
3、未经验证的扫描器结果(如 APK 漏洞扫描器、AWVS、IBM APPSCAN 等);
4、不能说明危害和利用手法或不可复现且无关紧要的“漏洞”。
涉及麦当劳中国的支付系统、账户系统、用户敏感信息、订单详细信息的相关平台或网站。
涉及麦当劳中国运营数据、统计信息数据及一般业务数据的网站。
涉及合作商家网站、商家营销后台、非支付功能的网站/平台、第三方供应提供的系统等。
根据隐私问题发现的难易程度、影响等维度,将隐私漏洞分为高危漏洞、中危漏洞及低危漏洞。
漏洞级别 | 判定标准 | 奖励标准 |
高危 | 1. 影响重大,与所在市场国家地区相关法律法规严重冲突 2. 利用方式新颖、有技术深度 3. 对应问题严重且行业内罕见 | 1500安全币 150贡献值 |
中危 | 不符合下列相关法律法规且影响较大 1. 工业化和信息化部《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号) 2. 常见类型移动互联网应用程序必要个人信息范围规定 3. 四部委《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号) 4. 全国信息安全标准化技术委员会《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》 5. 全国信息安全标准化技术委员会《移动互联网应用程序(APP)系统权限申请使用指南》 6. 《中华人民共和国个人信息保护法》 | 500安全币 50贡献值 |
低危 | 影响存在争议或影响相对较小 | 100安全币 10贡献值 |
1. 奖励只针对通过麦当劳中国安全应急响应中心(https://security.mcd.cn)平台提交安全漏洞的白帽子。
2. 奖励机制只支持麦当劳中国相关业务。麦当劳全球、合作方、供应商等第三方公司系统不在此奖励范围内。
3. 同一漏洞产生的多个漏洞,按照最高级别的漏洞奖励标准执行,漏洞数量计为一,例如:
PHP的安全漏洞、同一个JS引起的多个XSS漏洞、同一个发布系统引起的多个页面的 XSS 漏洞、框架导致的整站 XSS/CSRF 漏洞、泛域名解析产生的多个 XSS 漏洞、同一个 URL 多个参数的相同问题等。
4. 各等级安全漏洞的最终安全币由漏洞利用难度及影响范围等综合因素决定,若漏洞触发条件非常苛刻,包括但不限于特定浏览器才可触发的 XSS 漏洞,则可跨等级调整安全币。
5. 如果同一漏洞或同一问题漏洞的不同表现形式在漏洞修复前由多位漏洞报告者提交,在进行奖励时,我们会以最先提交并清晰表述、重现此漏洞问题的研究者为唯一受奖励者。
6. 漏洞挖掘过程应当以不影响麦当劳中国业务正常运作、不破坏、不传播漏洞为原则,否则麦当劳中国安全应急响应中心有权取消漏洞奖励。
7. 在安全漏洞未修复之前,被公开的安全漏洞不计分。
8. 网上已公开的安全漏洞不在奖励范围内。
9. 麦当劳中国员工不得参与或通过朋友参与本活动。
白帽子通过麦当劳中国安全应急响应中心(https://security.mcd.cn)提交安全漏洞一经确认则会给予相应安全币奖励(麦当劳中国安全应急响应中心平台上的一种虚拟货币),安全币可累加,除非特别声明,未使用的安全币不会过期。
礼品每月邮寄一次。如因报告者未能完善资料导致的延误,将顺延至下个月批量寄送时寄出;如因报告者过失、快递公司问题及人力不可抗拒因素产生的奖品丢失或者损坏,MCDSRC 不承担责任。
实物奖品兑换依照供货商库存实际情况进行发货。
为鼓励报告者提交高质量的安全漏洞信息,针对影响重大的安全漏洞、思路新颖并对麦当劳中国业务安全或系统安全作出突出贡献的报告者,通过麦当劳中国安全应急响应中心评审后可获得额外奖励。
在漏洞处理过程中,如果漏洞上报者对处理流程、漏洞等级评定、安全币发放等具有争议,请通过邮箱(security@cn.mcd.com)与我们联系,麦当劳中国安全应急响应中心将根据漏洞上报者利益优先的原则进行处理,必要时可引入外部人士共同裁定。