修订记录
V1.0 2019-05-23 发布第一版
V2.0 2020-05-08 发布第二版
V2.1 2020-12-28 更新测试范围;常见问题&解答等部分
V3.0 2023-11-15 每个章节均有不同程度的更新
实施日期
本规则自11月15日开始施行。
基本原则
1) 喜马拉雅非常重视自身产品和业务的安全问题,我们承诺每一份漏洞报告都会有专人进行跟进、分析和处理,并尽快给予答复。
2) 喜马拉雅鼓励和支持负责任的漏洞披露和处理流程,对每一位恪守白帽精神、保护用户利益、帮助喜马拉雅提升安全质量的白帽子,我们将给予相应的奖励并表示衷心的感谢。
3) 喜马拉雅反对和谴责一切以测试为借口,利用安全漏洞损害公司与用户利益的违法黑客行为,包括但不限于恶意窃取公司或用户的数据、窃取公司或用户的财产、恶意传播漏洞、妨碍业务系统正常运行等行为。
4) 在漏洞测试过程中,需遵守《SRC行业安全测试规范》与《网络安全法》的规定,对正常业务造成明显干扰的,漏洞将作相应降分或0分处理,对于恶意拖取数据等严重越界行为,公司将追究法律责任并配合公安机关取证调查。
5) 白帽子的漏洞报告在漏洞修复前,不得存放于互联网开放服务中(包括但不限于网盘、代码托管平台),若发现漏洞报告在修复前被公开或泄漏的,相应漏洞作0分处理。
6) 同一处漏洞的报告,最早提交者得分;同一处漏洞导致的多个利用点/链,按照危害最高的利用思路进行奖励。
7)同一个漏洞不能同时提交多个漏洞平台。一经发现,XMSRC有权收回已给出的奖励。
8)本规则仅适用于对喜马拉雅产品和业务有影响的漏洞和情报。
9)本规则所有内容解释权归XMSRC所有。平台奖励标准
XMSRC将结合利用场景中漏洞的危害程度、业务重要程度等综合因素给予相应金币和贡献值。对于影响特别广泛、危害特别严重的漏洞,XMSRC将给予特殊额外奖励。(
1安全币=1人民币)
安全币奖励明细表
贡献值奖励明细表
贡献值由漏洞对应用的危害程度以及应用的重要程度决定,贡献值将用于英雄榜排名
业务评级标准
附加奖励
清晰完整的报告有助于快速定位问题,提高审核速度。我们十分重视报告的完整性和详尽性,因此对于书写特别规范、内容详尽清晰的报告,审核将会给予如下附加奖励。我们将保留对附加分奖励规则的最终解释权。
漏洞报告需包含如下内容:
【漏洞描述】
请详细描述漏洞的利用方式,具体危害以及业务的受影响范围 。如测试产品存在多个版本的情况,请提供所测试产品的版本。
例如:XX产品因XXX原因,存在XXX漏洞,导致攻击者可通过XXX方式进行XXX操作。
【漏洞复现】
请按步骤对漏洞进行复现,将测试过程中的每个关键信息(如接口的参数、含义)和测试步骤,清晰地以文字与图片的形式详细地呈现在报告中。
请给出复现该漏洞所需的脚本poc、工具、重现该问题的技术相关信息等内容。
【测试源信息】
如涉及越权、未授权、内网、金钱等漏洞时,请给出测试时使用的账号、订单号、测试IP等信息,以便于溯源审核和确认。不涉及忽略即可。
【修复方案】
请提供有针对性的具体修复方案。
注:⼀般情况下请使⽤图⽂形式在线撰写漏洞报告,⽆需上传word。
查看详情:喜马拉雅SRC漏洞模版 V1.0
漏洞评级标准
【严重】漏洞
1、可直接获取核心系统权限的漏洞。包括但不限于代码执行、远程命令执行、上传WebShell、缓冲区溢出获取系统高级权限。
2、严重的敏感信息泄漏。包括但不限于核心数据库(资金、身份、交易相关) 的 SQL 注入,用户敏感信息接口未授权问题引起的大量敏感信息泄露。
3、核心业务的严重逻辑设计错误,能大量获取利益造成公司或用户实际损失的漏洞。包括但不限于任意账号资金消费、支付绕过、任意帐号密码修改。
【高危】漏洞
1.可直接获取一般系统权限的漏洞。包括但不限于远程命令执行、任意代码执行。
2.大量敏感信息泄漏。包括但不仅限于非核心数据库SQL注入、有重要信息的源代码泄漏、任意文件读取、越权查看大量员工或用户信息。
3.核心系统的越权敏感操作。包括但不限于越权访问可操作核心业务的管理后台、弱口令、获取大量内网敏感信息的SSRF。
4.可远程获取客户端权限的漏洞。包括但不限于客户端远程代码/命令执行、远程缓冲区溢出。
【中危】漏洞
1.一般系统的信息泄漏。包括单不限于轻微数据的SQL注入及难以利用的SQL注入,github泄露员工及公司的敏感信息,内部服务器数据库密码,web路径遍历,系统路径遍历,包含敏感信息的源代码压缩包泄露。
2.需交互或类似前置条件才能触发的漏洞。包括但不限于jsonp敏感信息劫持,存储型 XSS,有较大影响的 CSRF,客户端one-click远程代码执行。
3.一般系统的越权操作及逻辑漏洞。包括但不限于一般业务系统的账号越权、获取少量返利或积分。
4.无限制短信轰炸漏洞。
【低危】漏洞
1.轻微信息泄漏。包括但不限于路径信息泄漏、swagger、PHPinfo、异常信息泄露,以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息、异常信息等。
2.难以利用但存在安全隐患的漏洞。包括但不限于难以利用的SQL注入点,可引起传播和利用的反射型XSS(包括DOM-XSS),有一定影响的CSRF。
【忽略】无危害
1.无法利用/无实际危害的漏洞。包括但不限于无意义的扫描器结果报告,不可利用的 Self-XSS(无法分享给其他账号访问/未收到后台记录),非重要交互(如查询类操作)的 CSRF,静态文件目录遍历,401 认证钓鱼,内网 IP/域名,无敏感信息(如用户昵称、用户个人公开的信息、已脱敏的敏感信息等)的 JSON 劫持,横向短信轰炸等。
2.部分风险过低或难以利用的问题。包括不限于 PDF XSS,无回显的 SSRF,无意义的 API Key 泄露,并发请求操作某些产品中不重要的数据(如浏览量、报名人数、不重要的点赞评分功能),本地拒绝服务漏洞,SPF邮件伪造漏洞,url跳转漏洞,未提供成功案例只是说明理论可行的漏洞(例如只提供 dnslog 的“log4j2 命令执行漏洞”)。
3.运营预期之内或无法造成资金损失的问题、符合业务预期的产品设计,包括但不限于可使用多个账号领取小额奖励的正常业务活动。
4.与喜马无关的漏洞,包括但不限于电信运营商、CDN加速服务商、云服务商的机房基础网络架构等导致的漏洞。
5.内部多次讨论测试但无法复现的漏洞。
6.内部已知、正在处理的漏洞。包括但不限于内部或其他白帽子已发现的漏洞。
7.一些功能bug,无法造成安全风险问题的漏洞。
降级场景
1、影响较小的越权、未授权操作。
2、无法稳定复现的漏洞。
3、标题与内容严重不符或夸张评级的漏洞,根据情节会做漏洞降级处理,严重者将做忽略处理。
4、XMSRC将根据高质量报告标准,进行报告内容审核,对于缺乏关键因素(文字描述、图片证明、测试过程、风险接口和参数等),报告排版混乱,无法稳定复现的报告,将做降级/忽略处理。
补充说明
1、由同一个漏洞源引起的多个漏洞只算做一个漏洞,如多个业务用到一个存在漏洞JS文件、框架以及模板导致的整站的安全漏洞,同一个功能处的相似漏洞(如用户信息处的越权修改、查询、删除)等。
2、包括但不限于一个接口的多个参数存在相同漏洞,提倡打包提交,我们会适当提高奖励标准。
3、多个漏洞报告若存在前后关联的,如通过弱口令进入管理后台发现SQL注入、XSS等,将视为一个漏洞,并以其中危害最高的漏洞定级。
4、针对合资公司,只收取高危以上漏洞,只有贡献值奖励,不给予安全币奖励。
5、提交漏洞时请确认是否会对业务有真正的影响,并提交实际产生危害的证明,对于间接危害或猜测危害,定级时将不予考虑。
6、各漏洞/情报的最终奖励由漏洞利用难度及影响范围、实际危害等综合因素决定,XMSRC会参考行业通用做法酌情进行适当跨等级调整奖励。
7、由于业务调整,不再更新维护的客户端产品(包括但不限于喜马拉雅直播、顶空等)将不予以计分。8、若有涉及业务瘫痪等严重漏洞,请及时发邮件至security@ximalaya.com报备,否则将追究相关责任。
常见问题&解答
问: 我兑换了平台的礼品,要怎么才能收到奖励?
答: 兑换现金奖励后,
需要在收货地址中补充,姓名、电话、开户银行(开户行及地址)、银行卡号、身份证号。
问: 我对漏洞审核有异议,我可以通过哪些渠道进行申诉?
答: 1、在有疑问的漏洞页面提交评论。
2、通过向security@ximalaya.com发送漏洞复议的邮件。
问:我兑换了平台的现金奖励,什么时候会收到打款?
答:XMSRC会在当月月底对兑换的礼品进行统计,在次月10日左右向您留的卡号进行打款。
如因信息错误或信息未及时完善导致无法汇款,将联系您确认打款信息,并于次月10日左右再次尝试打款。
