Standar Pemrosesan Intelijen Ancaman Eksternal Bitget
Pengguna Bitget yang terhormat,
Harap baca Standar Pemrosesan Intelijen Ancaman Eksternal Bitget dengan cermat.
Lingkup aplikasi
Proses ini berlaku untuk semua intelijen yang diterima oleh Bitget Security Response Center ([email protected]).
Tanggal pelaksanaan
Dokumen ini telah diterapkan pada tanggal publikasi.
Prinsip dasar
- Bitget sangat mementingkan keamanan produk dan layanannya. Kami berjanji bahwa semua masukan dari setiap pelapor akan ditindaklanjuti, dianalisis dan diproses, dan segera ditanggapi.
- Bitget mendukung pengungkapan dan pemrosesan kerentanan yang bertanggung jawab. Kami berjanji bahwa kami akan mengucapkan terima kasih dan umpan balik kepada setiap pengguna yang menjaga semangat topi putih, melindungi kepentingan pengguna dan membantu Bitget meningkatkan keamanan dan kualitas.
- Bitget menentang dan mencela semua perilaku peretasan yang menggunakan pengujian kerentanan sebagai alasan untuk mengeksploitasi kerentanan keamanan untuk merusak atau merugikan pengguna, termasuk namun tidak terbatas pada mengeksploitasi kerentanan untuk mencuri privasi pengguna dan properti virtual, menyerang sistem bisnis, mencuri data pengguna, dan mengeksploitasi kerentanan secara jahat, dll.
4. Bitget menentang dan mengutuk semua penggunaan celah keamanan untuk mengintimidasi pengguna dan menyerang pesaing.
5. Bitget percaya bahwa penanganan setiap kerentanan keamanan dan kemajuan seluruh industri keamanan tidak terlepas dari kerjasama semua pihak. Diharapkan perusahaan, perusahaan keamanan, organisasi keamanan, dan peneliti keamanan akan bergabung dalam proses "pengungkapan kerentanan yang bertanggung jawab" untuk bekerja sama membangun Internet yang aman dan sehat.
Umpan Balik dan Pemrosesan Intelijen Ancaman
[Tahap Pelaporan]
Wartawan intelijen ancaman memberi umpan balik intelijen ancaman melalui kotak surat penerima intelijen ancaman Bitget ([email protected]).
[Tahap Pemrosesan]
- Dalam satu hari kerja, staf Bitget Security Emergency Response Center (BGSRC) akan mengkonfirmasi laporan intelijen ancaman yang diterima dan menindaklanjuti untuk memulai penilaian masalah (status: tinjauan).
- Dalam waktu tiga hari kerja, staf BGSRC menangani masalah, memberikan kesimpulan dan skor (status: dikonfirmasi/diabaikan). Jika diperlukan, staf BGSRC akan berkomunikasi dengan pelapor untuk mengonfirmasi dan meminta pelapor untuk membantu.
[Tahap Perbaikan]
- Unit bisnis memperbaiki masalah keamanan dalam intelijen ancaman dan menjadwalkan pembaruan untuk ditayangkan (status: diperbaiki). Waktu perbaikan tergantung pada tingkat keparahan masalah dan kesulitan perbaikan. Secara umum, masalah serius dan berisiko tinggi dalam 24 jam, risiko sedang dalam tiga hari kerja, risiko rendah dalam tujuh hari kerja. Masalah keamanan klien dibatasi oleh rilis versi, dan waktu perbaikan ditentukan berdasarkan kondisi aktual.
- Pelapor intelijen ancaman meninjau apakah masalah keamanan telah diperbaiki (status: ditinjau/ditinjau keberatan).
[Tahap penyelesaian]
- BGSRC akan mengeluarkan pengumuman pemrosesan intelijen ancaman bulan lalu di minggu pertama setiap bulan. Wartawan intelijen ancaman pada bulan sebelumnya akan berterima kasih dan mengumumkan situasi penanganan; informasi ancaman dampak penting atau besar akan mengeluarkan pengumuman keamanan darurat secara terpisah.
- Wartawan intelijen ancaman dapat menggunakan poin untuk menebus koin keamanan untuk penggantian uang tunai atau token platform. Setelah penggantian selesai, BGSRC akan memberi penghargaan kepada reporter intelijen ancaman; dan terkadang akan ada reward dan aktivitas meeting.
Standar Skor Intelijen Ancaman
Intelijen ancaman Bitget terutama berisi kerentanan dan intelijen keamanan bisnis Bitget. Di bawah ini kami akan menjelaskan kriteria penilaian mereka secara terpisah.
Standar Skor Kerentanan Bisnis
Menurut tingkat kerentanannya, dibagi menjadi lima tingkatan: parah, tinggi, sedang, rendah dan tidak ada. Peringkat dari setiap level adalah sebagai berikut:
[Berat]
Rentang skor adalah 9-10, dan rentang koin keamanan adalah 1080~1200.
Tingkat ini meliputi:
1. Akses langsung ke kerentanan (izin server, izin klien produk penting). Termasuk, namun tidak terbatas pada eksekusi perintah arbitrer jarak jauh, pengunggahan webshell, buffer overflow jarak jauh yang dapat dieksploitasi, stack overflow ActiveX yang tersedia, kerentanan browser yang tersedia "gunakan setelah gratis", eksploitasi yang dapat dieksploitasi dengan kode kernel jarak jauh, dan kerentanan eksekusi kode jarak jauh yang dapat dieksploitasi lainnya yang disebabkan oleh masalah logis.
2. Kerentanan yang secara langsung mengarah pada pengungkapan informasi yang serius. Termasuk, namun tidak terbatas pada, kerentanan injeksi SQL untuk DB penting.
3. Kerentanan logis yang secara langsung menimbulkan dampak serius. Termasuk, tetapi tidak terbatas pada memalsukan ID sewenang-wenang untuk mengirim kerentanan pesan, memalsukan bom ID apa pun ke TIPS apa pun untuk kerentanan pengguna apa pun, kerentanan perubahan kata sandi akun apa pun.
[Tinggi]
Rentang skor 6-8, rentang koin keamanan 360~480 (koefisien koin keamanan pertukaran: Web/server 60; PC c/terminal seluler 60)
Tingkat ini meliputi:
- Kerentanan yang secara langsung dapat mencuri informasi identitas pengguna. Termasuk: kerentanan penyimpanan XSS pada halaman utama layanan penting (seperti master Bitget), kerentanan injeksi SQL di situs umum.
- Melewati akses. Termasuk, namun tidak terbatas pada, login latar belakang manajemen yang sensitif.
- Kerentanan pengungkapan informasi berisiko tinggi. Termasuk, namun tidak terbatas pada, kebocoran data sensitif yang dapat digunakan secara langsung.
- Eksekusi kode arbitrer lokal. Termasuk, tetapi tidak terbatas pada, stack overflow yang tersedia secara lokal, UAF, doublefree, format string, hak istimewa lokal, pembajakan DLL terkait file (tidak termasuk memuat file DLL yang tidak ada dan memuat legitimasi D LL normal yang tidak dicentang), dan eksekusi kode asli lainnya kerentanan yang disebabkan oleh masalah logika.
- Kerentanan untuk mendapatkan izin klien secara langsung. Termasuk, namun tidak terbatas pada, eksekusi perintah arbitrer jarak jauh, buffer overflows jarak jauh, stack overflow ActiveX yang tersedia, penggunaan browser setelah kerentanan bebas, kerentanan eksekusi kode kernel jarak jauh, dan kerentanan eksekusi kode jarak jauh lainnya yang disebabkan oleh masalah logika.
- Kerentanan XSS untuk produk klien penting yang menerima informasi sensitif atau melakukan operasi sensitif.
[Menengah]
Rentang skor 3-5, rentang koin keamanan 45~75 (koefisien koin keamanan pertukaran: Web/server 15; PC c/terminal seluler 15)
Tingkat ini meliputi:
1. Kerentanan yang memerlukan interaksi untuk mendapatkan informasi identitas pengguna. Termasuk tetapi tidak terbatas pada XSS reflektif (termasuk DOM-X SS reflektif), JSONHijacking, CSRF untuk operasi sensitif yang penting, penyimpanan XSS untuk layanan umum
2. Kerentanan penolakan layanan aplikasi jarak jauh, pengungkapan informasi sensitif, kerentanan penolakan kernel layanan, kerentanan XSS untuk produk klien yang dapat memperoleh informasi sensitif atau melakukan operasi sensitif
3. Kerentanan keterbukaan informasi umum. Termasuk, namun tidak terbatas pada, kata sandi penyimpanan plaintext klien, kebocoran paket kompresi kode sumber yang berisi informasi sensitif
[Rendah]
Rentang skor 1-2, rentang koin keamanan 9~18 (koefisien koin keamanan pertukaran: Web/server 9; PC c/terminal seluler 9)
Tingkat ini meliputi:
1. Kerentanan dalam informasi identitas pengguna hanya dapat diperoleh di lingkungan browser tertentu yang tidak populer (seperti IE6). Termasuk, namun tidak terbatas pada, XSS reflektif (termasuk DOM-XSS reflektif), XSS penyimpanan untuk layanan umum, dan sebagainya.
2. Kerentanan pengungkapan informasi kecil. Termasuk, namun tidak terbatas pada, kebocoran jalur, kebocoran file SVN, phpinfo, kebocoran informasi sensitif logcat.
3. Kerentanan penolakan layanan lokal klien PC dan klien seluler. Mencakup, namun tidak terbatas pada, kerentanan penolakan layanan lokal yang disebabkan oleh izin komponen.
4. Akses tidak sah. Termasuk, namun tidak terbatas pada, melewati pertahanan proaktif klien, kerentanan lompatan URL Bitget, dan lompatan URL pihak ketiga yang melewati mekanisme deteksi URL berbahaya Bitget (Catatan: Melompat ke situs web normal bukanlah kerentanan lompatan).
5. Masalah yang sulit untuk dieksploitasi tetapi dapat menimbulkan potensi bahaya keamanan. Termasuk, namun tidak terbatas pada, Self-XS S, yang dapat menyebabkan propagasi dan eksploitasi, operasi sensitif non-kritis, CSRF, dan kerentanan eksekusi kode jarak jauh yang memerlukan serangan man-in-the-middle dan menyediakan P oC yang efektif.
[Tidak]
Rentang skor 0 (koefisien koin keamanan pertukaran: Web/server 0; PC c/terminal seluler 0)
Tingkat ini meliputi:
1. Bug keamanan yang tidak terkait. Termasuk namun tidak terbatas pada halaman web yang kacau, halaman web tidak dapat dibuka, dan suatu fitur tidak dapat digunakan.
2. "Kerentanan" yang tidak dapat dieksploitasi. Ini termasuk, namun tidak terbatas pada, laporan kerentanan pemindai yang tidak berarti (seperti versi WebServer yang lebih rendah), Self-XSS, Pembajakan JSON tanpa informasi sensitif, CSRF tanpa operasi sensitivitas (seperti favorit, menambahkan keranjang belanja, langganan untuk layanan non-kritis, modifikasi data pribadi biasa bisnis non-kritis, dll.), kebocoran kode sumber yang tidak berarti, kebocoran alamat IP intranet/nama domain, phishing otentikasi dasar 401, masalah kepercayaan jalur program, kebocoran informasi logcat tanpa informasi sensitif.
3. Tidak ada dugaan bukti.
4. Kerentanan bisnis Non-Bitget.
Kriteria penilaian adalah sebagai berikut:
Standar Skor Intelijen Keamanan
Intelijen keamanan mengacu pada informasi yang terkait dengan produk Bitget dan kerentanan bisnis, termasuk namun tidak terbatas pada isyarat kerentanan, isyarat serangan, informasi terkait serangan, metode serangan, dan teknologi serangan. Menurut bahaya dan informasi yang diberikan, standar penilaian rinci adalah sebagai berikut:
Prinsip Umum Standar Penilaian
- Kriteria penilaian hanya untuk intelijen ancaman yang memengaruhi produk dan layanan Bitget. Nama domain termasuk namun tidak terbatas pada *.bitget.com, server termasuk server yang dioperasikan oleh Bitget, dan produk adalah produk klien yang dirilis oleh Bitget. Intelijen ancaman yang tidak berdampak pada keamanan bisnis Bitget, tidak dihitung.
- Produk klien penting adalah produk klien Bitget.
- Untuk produk dan layanan yang tidak dirilis secara langsung oleh Bitget atau intelijen ancaman aplikasi pihak ketiga dari platform terbuka Bitget, produk dan layanan tersebut tidak diberi skor.
- Untuk kerentanan klien (termasuk PC dan ponsel) yang disebabkan oleh perpustakaan pihak ketiga (seperti libpng, zlib, libjpeg, dll.), dan kerentanan yang dapat diperbaiki dengan memutakhirkan atau mengganti perpustakaan pihak ketiga, hanya yang pertama reporter kerentanan dinilai. Pada saat yang sama, dari waktu umpan balik dari kerentanan pertama yang diperoleh BGSRC hingga tanggal ketika versi tetap pertama dari pihak ketiga dirilis, jenis kerentanan yang sama dinilai sebagai satu kerentanan; tingkat bahaya dinilai berdasarkan kerentanan yang paling berbahaya.
- Untuk kerentanan tujuan umum yang disebabkan oleh sistem terminal seluler, seperti webkit uxss, eksekusi kode, dll., hanya pelapor kerentanan pertama yang diberi skor, dan laporan kerentanan yang sama untuk produk lain tidak lagi diberi skor secara terpisah.
- Karena audit kerentanan klien rumit dan melibatkan departemen pengembangan lainnya, waktu audit mungkin lebih lama daripada kerentanan WEB. Terkadang rincian kerentanan yang diberikan oleh pelapor tidak cukup rinci, yang dapat menyebabkan BGSRC gagal memberikan kesimpulan dalam waktu yang sebenarnya. Harap mengerti ini. Oleh karena itu, berikan poc/exploit ketika kerentanan umpan balik diberikan, dan berikan analisis kerentanan yang sesuai untuk mempercepat pemrosesan administrator. Pengajuan kerentanan yang tidak disediakan atau tidak dianalisis secara rinci oleh poc atau exploit dapat secara langsung memengaruhi peringkat.
- Jika beberapa kerentanan dikirimkan ke klien yang sama dalam periode waktu yang sama, harap dengan jelas mengidentifikasi kode kunci yang menyebabkan kerentanan dan memicu kerentanan untuk segera mengkonfirmasi apakah mereka adalah kerentanan yang sama dan mempercepat konfirmasi kerentanan.
- Masalah keamanan yang timbul dari kerentanan generik pihak ketiga didasarkan pada kriteria penghargaan kerentanan umum.
- Ketika reporter intelijen ancaman meninjau masalah keamanan, jika menemukan bahwa masalah keamanan tetap ada atau tidak diperbaiki, itu akan terus dinilai sebagai intelijen ancaman baru.
- Informasi ancaman yang sama, reporter pertama mencetak skor, reporter lainnya tidak mencetak gol; informasi ancaman yang dikirimkan tidak diberi skor.
- Tolak hasil pemindai tanpa bukti kerusakan yang sebenarnya.
12. Menggunakan pengujian keamanan sebagai alasan untuk menggunakan informasi intelijen untuk merugikan kepentingan pengguna, mempengaruhi operasi normal bisnis, mengekspos publik sebelum perbaikan, mencuri data dari pengguna, dll., Tidak akan dipertanggungjawabkan, dan Bitget berhak untuk mengambil tindakan hukum lebih lanjut.
Prinsip penghargaan
[Hadiah Reguler]
1. Hadiah ditukar menggunakan koin keamanan (cryptocurrency dari BGSRC). Jumlah koin keamanan dikalikan dengan skor intelijen ancaman dengan faktor tingkat bahaya yang sesuai. Faktor peringkat bahaya dirujuk ke bagian "Kriteria Penilaian Intelijen Ancaman". Koefisien akan disesuaikan sesuai dengan situasi aktual, dan setiap penyesuaian akan diumumkan. Koin keamanan yang dihasilkan oleh beberapa intelijen ancaman dapat diakumulasikan, kecuali dinyatakan lain, koin keamanan yang tidak digunakan tidak akan kedaluwarsa.
2. Hak untuk menafsirkan Standar Pemrosesan Penghargaan Kerentanan dimiliki oleh Departemen Keamanan Bitget.
Penyelesaian sengketa
Dalam proses pemrosesan intelijen ancaman, jika pelapor memiliki keberatan dengan alur pemrosesan, penilaian intelijen ancaman, skor intelijen ancaman, dll., harap komunikasikan tepat waktu melalui kotak surat intelijen ancaman saat ini. Pusat Tanggap Darurat Keamanan Bitget akan menangani prioritas pelapor intelijen ancaman dan, jika perlu, memperkenalkan pihak eksternal untuk memutuskan bersama.
FAQ
Q: Berapa 1 koin keamanan BGSRC?
A: Menurut kriteria penghargaan industri, koin keamanan BGSRC 1 saat ini setara dengan sekitar RMB 5.
Q: Apakah informasi ancaman setelah Bitget menerima umpan balik intelijen ancaman akan dipublikasikan?
A: Untuk melindungi kepentingan pengguna, informasi ancaman tidak akan diungkapkan sampai masalah keamanan umpan balik intelijen ancaman diperbaiki. Setelah masalah keamanan diperbaiki, reporter intelijen ancaman dapat mengumumkannya kepada publik. BGSRC merekomendasikan agar reporter intelijen ancaman mengkategorikan dan meringkas teknologi terkait intelijen ancaman dan mempublikasikannya dalam bentuk artikel teknis.
Q: Apa hubungan antara BGSRC dan kelompok keamanan lainnya?
A: Keamanan bitget tidak terlepas dari dukungan dan bantuan industri. BGSRC bersedia bekerja sama dengan berbagai kelompok keamanan untuk mempromosikan perkembangan industri keamanan yang sehat. Saat ini BGSRC telah bekerja sama dengan beberapa kelompok keamanan dan akan memiliki lebih banyak kerjasama di masa depan.
Q: Akankah Bitget pertama-tama "mengabaikan" kerentanan dan kemudian diam-diam memperbaikinya?
A: Benar-benar tidak. Setelah "kerentanan" yang dikirimkan memasuki status "abaikan", menindaklanjuti dengan rekan kerja akan meninggalkan alasannya. Kejadian umum adalah bahwa "kerentanan" ini tidak dianggap sebagai kerentanan dan dinilai sebagai bug. BGSRC hanya tahu rekan produk yang relevan, apakah akan mengubah "bug" ini ditentukan oleh rekan produk. Situasi lain adalah perubahan dalam bisnis itu sendiri, menyebabkan "kerentanan" tidak ada lagi. Tapi apa pun yang terjadi, Bitget tidak akan "menyelinap perbaikan".
Tim Bitget
【Hubungi kami】
Customer Service:[email protected]
Kerjasama:[email protected]
Kerjasama Quantitative Market Maker:[email protected]
【Official Channel】
Official Grup Bitget Indonesia
【 Data Platform Bitget 】