百度安全应急响应中心
| 网站名称 | 百度安全应急响应中心 | ||
|---|---|---|---|
| 官网地址 | https://bsrc.baidu.com/ | ||
| 百度权重 | 3 | Alexa排名 | 2 |
百度安全应急响应中心(Baidu Security Response Center)是百度致力于维护互联网健康生态环境,保障百度产品和业务线的信息安全,促进安全专家的合作与交流而建立的漏洞收集及应急响应平台。本平台收集百度公司各产品线及业务上存在的安全漏洞,同时,我们也希望借此平台加强与业内各界的安全合作,共同打造简单可信赖的互联网健康生态。
BSRC综合各方用户反馈及专家建议,对V5.0进行整理更新,包括漏洞提交与反馈流程、安全漏洞评分标准、评分标准特殊情况声明、FAQ等内容优化,并于2020年11月2日正式执行V6.0,更新内容包括但不限于
一、优化漏洞提交与反馈流程:新增复测漏洞阶段
二、更新【安全漏洞评分标准】中,无危害类别漏洞说明:
1.无法利用或利用难度较大的缺陷。包括但不仅限于Self-XSS、无敏感操作的 CSRF、局域网中间人劫持、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。
2. 任何无敏感信息的信息泄露(例如无敏感信息的json hijacking、仅有js、img等的打包文件、一般信息的logcat、包含内网ip/域名的页面)等。
3. 无法重现的漏洞、只有“简要概述”的漏洞、不能直接体现漏洞的其他问题。包括但不限于纯属用户猜测、未经过验证的问题、无实际危害证明的扫描器结果。
4. Bos、bdysite、baidubce、aipage 等外界可以注册控制域名下的xss问题。
三、更新【评分标准特殊情况声明】,包括但不限于:
- 优化百度不直接参与运营的产品及业务,例:
- 建议白帽子将其相关的漏洞直接反馈给该业务现在归属的公司,此类漏洞将不在BSRC奖励计划之内
- 同一个域名的同类问题在十四个工作日内重复提交,记前三个为有效(3个以上同类问题建议打包提交,将酌情提高评分)
- 同一漏洞源的多个漏洞仅记为1个。以下情况也作同一漏洞源处理,即多个漏洞按一个处理。
注:若已提交问题处于待复测状态,发现当前或其他位置仍存在该问题则重新记分
- 同一个站点开启debug或php未关闭错误回显等原因引起的多处信息泄露
- 同一个站点多个目录存在目录浏览或svn信息泄露
四、具体详情参见《百度安全应急响应中心漏洞奖励细节V6.0》。
声明: “百度安全应急响应中心”官网上的内容与本站无任何关系,本站不为其承担任何责任。本站仅在2013年11月22日 00:00:00收录该网站时,未在该站网页上发现违法违规内容,之后若该站出现违法违规内容,可以直接联系本站管理员删除该站。
