基本原则
1) 喜马拉雅非常重视自身产品和业务的安全问题,我们承诺每一份漏洞报告都会有专人进行跟进、分析和处理,并尽快给予答复。
2) 喜马拉雅鼓励和支持负责任的漏洞披露和处理流程,对每一位恪守白帽精神、保护用户利益、帮助喜马拉雅提升安全质量的白帽子,我们将给予相应的奖励并表示衷心的感谢。
3) 喜马拉雅反对和谴责一切以测试为借口,利用安全漏洞损害公司与用户利益的违法黑客行为,包括但不限于恶意窃取公司或用户的数据、窃取公司或用户的财产、恶意传播漏洞、妨碍业务系统正常运行等行为。
4) 在漏洞测试过程中,需遵守
《SRC行业安全测试规范》与《网络安全法》的规定,对正常业务造成明显干扰的,漏洞将作相应降分或0分处理,对于恶意拖取数据等严重越界行为,公司将追究法律责任并配合公安机关取证调查。
5) 白帽子的漏洞报告在漏洞修复前,不得存放于互联网开放服务中(包括但不限于网盘、代码托管平台),若发现漏洞报告在修复前被公开或泄漏的,相应漏洞作0分处理。
6) 同一处漏洞的报告,最早提交者得分;同一处漏洞导致的多个利用点/链,按照危害最高的利用思路进行奖励。
测试范围
Web服务:
*.ximalaya.com
*.qingxuetang.com
*.himalaya.com
*.qijizuopin.com
*.ximaleya.com
APP服务:
喜马拉雅FM
轻学堂
晓雅AI音箱
喜猫儿故事
小雅助手 奇迹小说
以及其它针对喜马拉雅的威胁情报与业务安全问题
报告评分标准
1安全币价值1元人民币,相应漏洞的安全币奖励 = 漏洞分值 * k,k值将根据业务重要程度动态调整。
【严重】分值范围:90-100 【核心业务】10≤k≤20
【高危】分值范围:50-85 【一般业务】5≤k≤10
【中危】分值范围:25-45 【边缘业务】1≤k≤5
【低危】分值范围:5-20 【忽略】 分值0
对于影响特别广泛、危害特别严重的漏洞,可给予特殊高额奖励。
【严重】漏洞:
1) 可直接获取核心系统权限的漏洞。包括但不限于代码执行、命令执行、上传获取WebShell、SQL注入或缓冲区溢出获取系统高级权限。
2) 可直接获取大量敏感信息的核心数据库SQL注入、接口未授权访问。
3) 核心业务的严重逻辑漏洞。包括但不限于任意高权账号登陆与密码修改、大额资金消费、大量敏感数据泄漏。
【高危】漏洞:
1) 可直接获取一般系统权限的漏洞。
2) 核心系统的越权敏感操作。包括但不限于越权访问可操作核心业务的管理后台。
3) 大量敏感信息泄漏的漏洞。包括但不限于整站源代码泄漏、越权查看大量员工或用户信息。
4) 可远程获取客户端权限的漏洞。包括但不限于客户端远程代码/命令执行、远程缓冲区溢出、核心系统页面存储型XSS及可获取Cookie等敏感信息的具有传播性的XSS。
【中危】漏洞:
1) 一般系统的信息泄漏。包括但不限于不涉及太多敏感数据的SQL注入、影响有限的越权访问、源代码或重要系统日志泄漏。
2) 可获取敏感信息但需要受害者交互或类似前置条件才能触发的漏洞。包括但不限于敏感数据JSON劫持、支付订单或修改密码等敏感操作的CSRF、一般系统的存储型XSS。
3) 一般的逻辑漏洞。包括但不限于一般业务系统的账号越权、获取少量返利或积分。
【低危】漏洞:
1) 轻微信息泄漏。包括但不限于PHPInfo、DebugPage、非核心Config文件等含有少量敏感信息的页面。
2) 非核心系统的反射型XSS、短信或邮箱轰炸、URL跳转、利用条件苛刻的CSRF漏洞。
【忽略】无危害:
1) 无法利用/无实际危害的漏洞。包括但不限于 不可利用的 Self-XSS(无法分享给其他账号访问/未收到后台记录)、非重要交互(如查询类操作)的 CSRF、静态文件目录遍历、401 认证钓鱼、内网 IP/域名、无敏感信息(如用户昵称、用户个人公开的信息、已脱敏的敏感信息等)的 JSON劫持 、横向短信轰炸等。
2) 内部多次讨论测试但无法复现的漏洞。
3) 内部已知、正在处理的漏洞。包括但不限于内部或其他白帽子已发现的漏洞。
4) 无意义的扫描器结果报告。
5) 非接收范围内的漏洞。