Прием обращений об угрозах безопасности Bitget
Уважаемые пользователи Bitget:
Пожалуйста, внимательно прочтите Стандарт обработки внешней информации об угрозах Bitget.
Область применения
Этот процесс применяется ко всей информации, полученной в Центре реагирования на безопасность Bitget ([email protected]).
Дата внедрения
Этот документ реализован на момент публикации.
Основной принцип
- Bitget придает большое значение безопасности своих продуктов и услуг. Мы обещаем, что все отзывы от каждого репортера будут изучены, проанализированы и обработаны, и на них будет оперативно реагировать.
- Bitget поддерживает ответственное раскрытие и обработку уязвимостей. Мы обещаем, что будем благодарить и давать отзывы каждому пользователю, который поддерживает белого хакера, защищает интересы пользователей и помогает Bitget повысить безопасность и качество.
- Bitget выступает против и осуждает все виды хакерского поведения, в которых тестирование уязвимостей используется в качестве предлога для использования уязвимостей системы безопасности для нанесения ущерба или причинения вреда пользователям, включая, помимо прочего, использование уязвимостей для кражи конфиденциальности и виртуальной собственности пользователей, вторжение в бизнес-системы, кражу пользовательских данных и злонамеренное использование уязвимости и др.
- Bitget выступает против и осуждает любое использование лазеек в системе безопасности для запугивания пользователей и нападения на конкурентов.
- Bitget считает, что устранение каждой уязвимости системы безопасности и прогресс всей отрасли безопасности неотделимы от сотрудничества всех сторон. Мы надеемся, что предприятия, компании по безопасности, организации по безопасности и исследователи безопасности присоединятся к процессу «ответственного раскрытия уязвимостей», чтобы вместе работать над созданием безопасного и здорового Интернета.
Обратная связь и обработка информации об угрозах
[Этап отчетности]
Репортеры аналитики угроз передают информацию об угрозах через почтовый ящик приема аналитики угроз Bitget ([email protected]).
[Стадия обработки]
- В течение одного рабочего дня персонал Bitget Security Emergency Response Center (BGSRC) подтвердит полученный отчет об угрозах и последует за ним, чтобы начать оценку проблемы (статус: проверка).
- В течение трех рабочих дней персонал BGSRC решает проблему, дает заключение и выставляет баллы (статус: подтверждено / проигнорировано). При необходимости сотрудники BGSRC свяжутся с репортером для подтверждения и попросят репортера помочь.
[Стадия исправления]
- Подразделение устраняет проблемы безопасности в аналитике угроз и планирует запуск обновления (статус: исправлено). Срок исправления зависит от серьезности проблемы и сложности исправления. Как правило, серьезные проблемы и проблемы с высоким риском в течение 24 часов, средний риск в течение трех рабочих дней, низкий риск в течение семи рабочих дней. Проблемы с безопасностью клиента ограничиваются выпуском версии, а время исправления определяется исходя из реальных условий.
- Репортер аналитики угроз проверяет, устранена ли проблема безопасности (статус: рассмотрено / рассмотрено возражение).
[Этап завершения]
- BGSRC будет выпускать объявление об обработке данных об угрозах за последний месяц в первую неделю каждого месяца. Репортеры разведки угроз в предыдущем месяце поблагодарят и объявят о ситуации с обработкой; информация об угрозах критических или серьезных столкновений будет выпускаться отдельно с экстренным сообщением о безопасности.
- Репортеры аналитики угроз могут использовать баллы для обмена монет безопасности на замену наличных денег или токена платформы. После того, как замена будет завершена, BGSRC вознаградит репортеров разведки угроз; и иногда будут награды и встречи.
Стандарт оценки аналитики угроз
Аналитика угроз Bitget в основном содержит: уязвимости и аналитику безопасности бизнеса Bitget. Ниже мы опишем их критерии оценки отдельно.
Стандарт оценки уязвимости бизнеса
По степени уязвимости он делится на пять уровней: серьезный, высокий, средний, низкий и отсутствует. Рейтинг каждого уровня следующий:
[Серьезный]
Диапазон баллов составляет 9-10, а диапазон ценных бумаг - 1080 ~ 1200.
Этот уровень включает:
- Прямой доступ к уязвимости (разрешения сервера, разрешения клиента важных продуктов). Включает, но не ограничивается удаленным выполнением произвольных команд, загрузкой веб-оболочки, используемым удаленным переполнением буфера, доступным переполнением стека ActiveX, доступными уязвимостями браузера "использование после освобождения", эксплуатируемыми эксплойтами с удаленным кодом ядра и другими уязвимостями, которые можно использовать для удаленного выполнения кода, вызванными логическими проблемами.
- Уязвимость, которая напрямую ведет к серьезному раскрытию информации. Включает, но не ограничивается, уязвимости SQL-инъекций для важных баз данных.
- Логическая уязвимость, которая напрямую наносит серьезный ущерб. Включает, но не ограничивается подделкой произвольного идентификатора для отправки сообщений об уязвимостях, подделкой любой идентификационной бомбы для любых TIPS к любой уязвимости пользователя, любой уязвимости, связанной с изменением пароля учетной записи.
[Высокий]
Диапазон оценок 6-8, диапазон ценных бумаг 360 ~ 480 (коэффициент безопасности обменных монет: Веб / сервер 60; ПК / мобильный терминал 60)
Этот уровень включает:
- Уязвимость, которая может напрямую украсть идентификационную информацию пользователя. В том числе: XSS-уязвимости хранилища на ключевых страницах важных сервисов (например, Bitget master), уязвимости SQL-инъекций на распространенных сайтах.
- Чрезмерный доступ. Включает, но не ограничивается входами в систему для конфиденциального управления в фоновом режиме.
- Уязвимости, связанные с раскрытием информации с высоким риском. Включает, но не ограничивается утечками конфиденциальных данных, которые можно использовать напрямую.
- Выполнение локального произвольного кода. Включает в себя, но не ограничивается локально доступным переполнением стека, UAF, doublefree, строкой формата, локальными привилегиями, захватами файлов DLL (исключая загрузку несуществующих файлов DLL и загрузку нормального D LL без проверки легитимности) и другими уязвимостями выполнения собственного кода, вызванными логической ошибкой.
- Уязвимости для прямого получения клиентских разрешений. Включает, но не ограничивается удаленным выполнением произвольной команды, удаленным переполнением буфера, доступным переполнением стека ActiveX, уязвимостями использования браузера после освобождения, уязвимостью удаленного выполнения кода ядра и другими уязвимостями удаленного выполнения кода, вызванными логическими проблемами.
- XSS-уязвимости для критически важных клиентских продуктов, которые получают конфиденциальную информацию или выполняют конфиденциальные операции.
[Средний]
Диапазон оценок 3-5, диапазон ценных бумаг 45 ~ 75 (коэффициент безопасности обменных монет: Веб / сервер 15; ПК / мобильный терминал 15)
Этот уровень включает:
- Уязвимость, требующая взаимодействия для получения идентификационной информации пользователя. Включает, но не ограничивается отражающим XSS (включая отражающий DOM-X SS), JSONHijacking, CSRF для важных конфиденциальных операций, хранилищем XSS для общих служб
- Уязвимость удаленного отказа в обслуживании приложений, раскрытие конфиденциальной информации, уязвимость ядра, связанная с отказом в обслуживании, уязвимость XSS для клиентских продуктов, которые могут получать конфиденциальную информацию или выполнять конфиденциальные операции
- Общая уязвимость раскрытия информации. Включает, но не ограничивается клиентскими паролями хранения открытого текста, утечками пакетов сжатия исходного кода, содержащих конфиденциальную информацию
[Низкий]
Диапазон оценок 1-2, диапазон ценных бумаг 9 ~ 18 (коэффициент безопасности обменных монет: Веб / сервер 9; ПК / мобильный терминал 9)
Этот уровень включает:
- Уязвимости в идентификационной информации пользователя могут быть получены только в определенных непопулярных средах браузера (например, IE6). Включает, но не ограничивается отражающим XSS (включая отражающий DOM-XSS), хранилищем XSS для общих служб и т. д.
- Незначительная уязвимость раскрытия информации. Включает, но не ограничивается утечками пути, утечками файлов SVN, phpinfo, утечками конфиденциальной информации logcat.
- Уязвимость локального отказа в обслуживании клиента ПК и мобильного клиента. Включает, но не ограничивается локальными уязвимостями отказа в обслуживании, вызванными разрешениями компонентов.
- Не авторизованный доступ. Включает, помимо прочего, обход проактивной защиты клиента, уязвимости перехода по URL-адресу Bitget и переходы сторонних URL-адресов, которые обходят механизм обнаружения вредоносных URL-адресов Bitget (Примечание: Переход на обычный веб-сайт не является уязвимостью перехода).
- Проблемы, которые трудно распознать, но которые могут представлять потенциальную угрозу безопасности. Включает, но не ограничивается Self-XS S, который может вызывать распространение и эксплуатацию, некритическими конфиденциальными операциями, CSRF и уязвимостями удаленного выполнения кода, которые требуют атак типа «человек посередине» и обеспечивают эффективный P oC.
[Отсутсвует]
Диапазон оценок 0 (коэффициент биржевой монеты: Веб / сервер 0; ПК / мобильный терминал 0)
Этот уровень включает:
- Несвязанные ошибки безопасности. Включает, но не ограничивается веб-страницей с искажениями, веб-страницами, которые не могут быть открыты, и функцией не может быть использована.
- «Уязвимости», которые нельзя использовать. Это включает, но не ограничивается отчетами об уязвимостях сканера, которые не имеют смысла (например, более низкие версии WebServer), Self-XSS, JSON Hijacking без конфиденциальной информации, CSRF без операций с конфиденциальностью (таких как избранное, добавление корзин покупок, подписки на некритические услуги, некритичные бизнес-модификации обычных личных данных и т. д.), бессмысленной утечкой исходного кода, утечкой IP-адреса / доменного имени в интрасети, фишингом с базовой аутентификацией 401, проблемой доверия к программному пути, утечкой информации logcat без конфиденциальной информации.
- Нет догадок о доказательствах.
- Уязвимости бизнеса, отличного от Bitget.
Критерии рейтинга следующие:
Стандарт оценки безопасности
Под аналитикой безопасности понимается информация, относящаяся к продуктам Bitget и уязвимостям бизнеса, включая, помимо прочего, признаки уязвимостей, сигналы атак, информацию, связанную с атаками, методы атак и технологии атак. В соответствии с опасностями и предоставленной информацией подробные стандарты оценки следующие:
Общий принцип выставления оценок
- Критерии оценки предназначены только для анализа угроз, которые влияют на продукты и услуги Bitget. Доменное имя включает, помимо прочего, * .bitget.com, сервер включает сервер, управляемый Bitget, а продукт является клиентским продуктом, выпущенным Bitget. Аналитика угроз, не влияющая на безопасность бизнеса Bitget, не считается.
- Важными клиентскими продуктами являются клиентские продукты Bitget.
- Для продуктов и услуг, которые непосредственно не выпускаются Bitget или сторонними приложениями для анализа угроз открытой платформы Bitget, оценка не проводится.
- Для клиентских уязвимостей (включая ПК и мобильные телефоны), вызванных сторонними библиотеками (например, libpng, zlib, libjpeg и т. д.), и уязвимостей, которые могут быть исправлены путем обновления или замены сторонних библиотек, оцениваются только первые отчеты об уязвимостях. В то же время, с момента получения обратной связи о первой уязвимости, полученной BGSRC, до даты, когда была выпущена первая исправленная версия третьей стороны, тот же тип уязвимости оценивается как одна уязвимость; уровень опасности оценивается по наиболее вредоносной уязвимости.
- Для универсальных уязвимостей, вызванных системами мобильных терминалов, таких как webkit uxss, выполнение кода и т. д., проводится оценка только первого отчета об уязвимости, а тот же отчет об уязвимостях для других продуктов больше не оценивается отдельно.
- Поскольку аудит уязвимостей клиентов сложен и включает в себя другие отделы разработки, время аудита может быть больше, чем у WEB-уязвимости. Иногда детали уязвимостей, предоставленные репортером, недостаточно подробны, что может привести к тому, что BGSRC не сможет дать заключение в установленный срок. Пожалуйста, поймите это. Поэтому, пожалуйста, предоставьте poc / exploit, когда указана уязвимость обратной связи, и предоставьте соответствующий анализ уязвимости, чтобы ускорить обработку администратором. Сообщения об уязвимостях, которые не предоставлены или не проанализированы детально с помощью poc или эксплойта, могут напрямую повлиять на рейтинг.
- Если несколько уязвимостей передаются одному и тому же клиенту в один и тот же период времени, пожалуйста, четко укажите ключевой код, вызвавший уязвимость, и активируйте уязвимость, чтобы быстро подтвердить, являются ли они одной и той же уязвимостью, что ускорит подтверждение уязвимости.
- Проблемы безопасности, возникающие из-за сторонних универсальных уязвимостей, основанные на общих критериях оценки уязвимости.
- Когда репортер аналитики угроз рассматривает проблему безопасности и если он обнаруживает, что проблема безопасности сохраняется или не устранена, то она будет продолжать оцениваться как новая аналитика угроз.
- С той же информация об угрозе первый репортер получает баллы, а другие репортеры не получают баллов; представленная информация об угрозе не оценивается.
- Отклоняйте результаты сканирования без доказательства реального повреждения.
- Использование тестирования безопасности в качестве предлога для использования разведывательной информации для нанесения вреда интересам пользователей, нарушения нормальной работы бизнеса, разоблачения общественности перед исправлением, кражи данных у пользователей и т. д. не будет учитываться, и Bitget оставляет за собой право на дальнейшее судебное разбирательство.
Принцип вознаграждения
[Обычные награды]
- Обмен призов осуществляется с помощью монеты безопасности ( криптовалюта BGSRC). Количество монет безопасности умножается на оценку разведки угроз и на соответствующий коэффициент уровня опасности. Фактор оценки опасности указан в разделе «Критерии оценки аналитики угроз». Коэффициент будет корректироваться в соответствии с реальной ситуацией, и о каждой корректировке будет объявлено. Монеты безопасности, сгенерированные множеством угроз, могут накапливаться, если не указано иное, срок действия неиспользованных монет безопасности не истечет.
- Право интерпретировать Стандарт обработки вознаграждений за уязвимости принадлежит отделу безопасности Bitget.
Разрешение спора
В процессе обработки информации об угрозах, если у репортера есть возражения против процесса обработки, оценки информации об угрозах, оценки аналитики угроз и т. д., то своевременно сообщите об этом через текущий почтовый ящик информации об угрозах. Центр реагирования на чрезвычайные ситуации Bitget Security будет обрабатывать приоритет репортеров разведки угроз и, при необходимости, привлекать внешние стороны для совместного решения.
Вопросы-Ответы
Вопрос: Сколько стоит 1 ценная монета BGSRC?
Ответ: Согласно критериям отраслевой награды текущая ценная монета BGSRC 1 эквивалентна примерно 5 юаням.
Вопрос: Будет ли информация об угрозах публиковаться после того, как Bitget получит ответ от аналитики угроз?
Ответ: В целях защиты интересов пользователей информация об угрозах не будет раскрыта до тех пор, пока не будет решена проблема безопасности обратной связи с данными об угрозах. После устранения проблемы с безопасностью репортер аналитики угроз может опубликовать ее. BGSRC рекомендует репортерам аналитики угроз классифицировать и обобщать технологии, связанные с аналитикой угроз, и публиковать их в виде технических статей.
Вопрос: Каковы отношения между BGSRC и другими группами безопасности?
Ответ: Безопасность Bitget неотделима от поддержки и помощи индустрии. BGSRC готов сотрудничать с различными группами безопасности, чтобы способствовать здоровому развитию индустрии безопасности. В настоящее время BGSRC сотрудничает с некоторыми группами безопасности и будет продолжать сотрудничество в будущем.
Вопрос: Сможет ли Bitget сначала «проигнорировать» уязвимость, а затем тайно ее исправить?
Ответ: Точно нет. После того, как отправленные «уязвимости» перейдут в состояние «игнорировать», дальнейшее действие коллег - оставить причину. Часто такая «уязвимость» не считается уязвимостью и оценивается как ошибка. BGSRC знает только коллег по соответствующему продукту, а изменять ли эту «ошибку» решают исключительно коллеги по продукту. Другая ситуация - изменение самого бизнеса, в результате чего «уязвимости» перестают существовать. Но, несмотря ни на что, Bitget не будет «скрывать исправления».
【 Свяжитесь с нами】
Служба поддержки:[email protected]
Сотрудничество:[email protected]
Сотрудничество по Маркет Мейкингу и алго-трейдингу:[email protected]
【Официальные каналы】
【Платформы с информацией о Bitget】