喜马拉雅SRC正式上线啦

2019年激活用户5.3亿，活跃用户日均收听时长147分钟，行业占比73%。

喜马拉雅是以用户第一，重视信息安全的公司，所以建立了喜马拉雅安全应急响应中心。作为一个平台，来收集外界安全人士来提交的漏洞，共建喜马安全。

测试范围

Web服务

*.ximalaya.com
*.qingxuetang.com
*.himalaya.com
*.wanwusheng.cn
*.qijizuopin.com
*.tableauxmly.com
*.ximaleya.com


APP 服务

喜马拉雅FM
轻学堂
下雅AI音箱
喜猫儿故事
晓雅助手

其他 

针对喜马拉雅的黑客攻击事件以及涉及喜马拉雅业务的安全问题。

分值范围 18-20
本等级包括：
1)严重的敏感信息泄露，包括但不限于可以获取重要数据的 SQL 注入漏洞（如用户帐号密码）、源代码泄露以及任意文件读取和下载漏洞（如包含重要服务口令）、可获取大量用户的身份信息、会员信息、银行卡信息等 ；
2)严重的逻辑设计缺陷，包括但不限于任意账号登陆、任意账号密码修改、支付绕过漏洞、通过业务接口批量发送伪造信息、以任意人身份敏感操作等 ；
3)远程直接获取系统权限的漏洞（服务端和客户端），包括但不限于远程任意命令执行、代码执行、任意文件上传获取 webshell、可利用的缓冲区溢出、SQL注入获取系统权限等 ；
4)远程直接导致业务拒绝服务的漏洞，包括但不限于可利用的服务和系统中的远程拒绝服务攻击漏洞 ；
5)其他喜马拉雅认为构造成严重级别的漏洞


【高】 

分值范围 10-17
本等级包括：
1) 大范围影响用户的漏洞，包含但不限于容易利用的存储型 XSS、CSRF以及由此可能引发的蠕虫等 ；
2) 高风险的信息泄露，包括但不限于非重要数据的 SQL 注入漏洞、源代码泄露以及任意文件读取和下载漏洞等 ；
3) 越权访问，包括但不限于绕过验证直接访问后台、后台登录弱口令、可获取大量内网敏感信息的SSRF、以及重要服务的弱口令等 ；
4) 用户垂直权限的越权操作，包括但不限于普通用户绕过VIP用户校验，获取VIP用户资源 ；
5) 直接获取客户端敏感信息的漏洞。包括但不限于弱加密算法引起的敏感信息泄露、通信过程中引起的敏感信息泄露、local- storage处理不当引起的敏感信息泄露等 ； 

分值范围 5-9
本等级包括：
1) 需要用户参与一定的交互才能获取用户身份信息的漏洞。包括但不限于JSON Hijacking、CSRF、普通业务的存储型 XSS ；
2) 本地拒绝服务漏洞。包括但不限于客户端本地拒绝服务（解析文件格式、网络协议产生的崩溃），由组件权限导致的本地拒绝服务漏洞等 ；
3) 普通的信息泄露，包括但不限于包括可以轻微数据的SQL注入和难以利用的SQL注入，客户端用户名密码明文存储，以及网络明文密码传输 ；
4) 普通的越权操作以及设计缺陷和流程缺陷 ；
5) 普通信息泄露。包括但不限于客户端明文存储密码、客户端密码明文传输以及web路径遍历、系统路径遍历、包含敏感信息的源代码压缩包泄露 ；


【低】 

分值范围 1-4
本等级包括：
1) 反射型 XSS（包括反射型 DOM-XSS）
2) 轻微信息泄露。包括但不限于路径泄露、SVN文件泄露、PHPinfo、异常信息泄露，以及客户端应用本地SQL注入（仅泄漏数据库名称、字段名、cache内容）、日志打印、配置信息、异常信息等  
3) URL跳转漏洞 ；
4) 确定的安全隐患但是难以利用的漏洞，包括但不限于难以利用的SQL注入点、需构造部分参数且有影响较小的CSRF ；


【忽略】

分值范围 0，

本等级包括： 

1) 无法影响其他用户的漏洞包括但不限于self-xss ；
2) 无法利用的漏洞，包括但不限于版本过低 ；
3) 无关安全的BUG，包括但不限于产品功能缺陷、网页乱码、静态文件目录遍历、应用兼容性问题等 ；
4) 无法重现的漏洞。只有“简要概述”，不能直接体现漏洞的其他问题。包括纯属用户猜测、未经验证的问题。以及无实际危害证明的扫描器结果 ；
5) 其他喜马拉雅认为可忽略的漏洞。

漏洞处理流程

喜马拉雅工作人员在五个工作日之内会处理白帽子同学提交的漏洞，测试并评估其有效性，如果通过，会根据漏洞等级给予一定的安全积分。漏洞修复后还邀请白帽子做相应的复测，帮助喜马拉雅完全的修复漏洞。对于漏洞不清晰的地方，必要时也会进行沟通。

安全币=积分*k

业务线重要程度（数据层面），系数设为k：默认k=20，后期在运营过程中会依据各涉及业务线重要程度来动态调整k值。

更多详情请查看：XMSRC漏洞处理和评分标准