喜马拉雅SRC漏洞处理规则及评分标准v2.0

发布日期:2020-05-08

分享

基本原则


1) 喜马拉雅非常重视自身产品和业务的安全问题,我们承诺每一份漏洞报告都会有专人进行跟进、分析和处理,并尽快给予答复。

2) 喜马拉雅鼓励和支持负责任的漏洞披露和处理流程,对每一位恪守白帽精神、保护用户利益、帮助喜马拉雅提升安全质量的白帽子,我们将给予相应的奖励并表示衷心的感谢。

3) 喜马拉雅反对和谴责一切以测试为借口,利用安全漏洞损害公司与用户利益的违法黑客行为,包括但不限于恶意窃取公司或用户的数据、窃取公司或用户的财产、恶意传播漏洞、妨碍业务系统正常运行等行为。

4) 在漏洞测试过程中,需遵守《SRC行业安全测试规范》与《网络安全法》的规定,对正常业务造成明显干扰的,漏洞将作相应降分或0分处理,对于恶意拖取数据等严重越界行为,公司将追究法律责任并配合公安机关取证调查。

5) 白帽子的漏洞报告在漏洞修复前,不得存放于互联网开放服务中(包括但不限于网盘、代码托管平台),若发现漏洞报告在修复前被公开或泄漏的,相应漏洞作0分处理。

6) 同一处漏洞的报告,最早提交者得分;同一处漏洞导致的多个利用点/链,按照危害最高的利用思路进行奖励。

测试范围


Web服务:


*.ximalaya.com
*.qingxuetang.com
*.himalaya.com
*.qijizuopin.com
*.tableauxmly.com
*.ximaleya.com

APP服务:


喜马拉雅FM
轻学堂
晓雅AI音箱
喜猫儿故事
小雅助手

以及其它针对喜马拉雅的威胁情报业务安全问题



报告评分标准


1安全币价值1元人民币,相应漏洞的安全币奖励 = 漏洞分值 * k,k值将根据业务重要程度动态调整。

【严重】分值范围:90-100       【核心业务】10≤k≤20
【高危】分值范围:50-85        【一般业务】5≤k≤10
【中危】分值范围:25-45        【边缘业务】1≤k≤5
【低危】分值范围:5-20          【忽略】      分值0



对于影响特别广泛、危害特别严重的漏洞,可给予特殊高额奖励

【严重】漏洞: 

    1) 可直接获取核心系统权限的漏洞。包括但不限于代码执行、命令执行、上传获取WebShell、SQL注入或缓冲区溢出获取系统高级权限。 

    2) 可直接获取大量敏感信息的核心数据库SQL注入、接口未授权访问。 

    3) 核心业务的严重逻辑漏洞。包括但不限于任意高权账号登陆与密码修改、大额资金消费、大量敏感数据泄漏。

【高危】漏洞: 

    1) 可直接获取一般系统权限的漏洞。 

    2) 核心系统的越权敏感操作。包括但不限于越权访问可操作核心业务的管理后台。 

    3) 大量敏感信息泄漏的漏洞。包括但不限于整站源代码泄漏、越权查看大量员工或用户信息。 

    4) 可远程获取客户端权限的漏洞。包括但不限于客户端远程代码/命令执行、远程缓冲区溢出、核心系统页面存储型XSS及可获取Cookie等敏感信息的具有传播性的XSS。

【中危】漏洞: 

    1) 一般系统的信息泄漏。包括但不限于不涉及太多敏感数据的SQL注入、影响有限的越权访问、源代码或重要系统日志泄漏。 

    2) 可获取敏感信息但需要受害者交互或类似前置条件才能触发的漏洞。包括但不限于敏感数据JSON劫持、支付订单或修改密码等敏感操作的CSRF、一般系统的存储型XSS。 

    3) 一般的逻辑漏洞。包括但不限于一般业务系统的账号越权、获取少量返利或积分。

【低危】漏洞: 

    1) 轻微信息泄漏。包括但不限于PHPInfo、DebugPage、非核心Config文件等含有少量敏感信息的页面。 

    2) 非核心系统的反射型XSS、短信或邮箱轰炸、URL跳转、利用条件苛刻的CSRF漏洞。

【忽略】无危害: 

    1) 无法利用/无实际危害的漏洞。包括但不限于 不可利用的 Self-XSS(无法分享给其他账号访问/未收到后台记录)、非重要交互(如查询类操作)的 CSRF、静态文件目录遍历、401 认证钓鱼、内网 IP/域名、无敏感信息(如用户昵称、用户个人公开的信息、已脱敏的敏感信息等)的 JSON劫持 、横向短信轰炸等。

    2) 内部多次讨论测试但无法复现的漏洞。

    3) 内部已知、正在处理的漏洞。包括但不限于内部或其他白帽子已发现的漏洞。

    4) 无意义的扫描器结果报告。

    5) 非接收范围内的漏洞。