喜马拉雅SRC漏洞处理规则及评分标准v2.1

发布日期:2020-12-28

分享

基本原则

1) 喜马拉雅非常重视自身产品和业务的安全问题,我们承诺每一份漏洞报告都会有专人进行跟进、分析和处理,并尽快给予答复。

2) 喜马拉雅鼓励和支持负责任的漏洞披露和处理流程,对每一位恪守白帽精神、保护用户利益、帮助喜马拉雅提升安全质量的白帽子,我们将给予相应的奖励并表示衷心的感谢。

3) 喜马拉雅反对和谴责一切以测试为借口,利用安全漏洞损害公司与用户利益的违法黑客行为,包括但不限于恶意窃取公司或用户的数据、窃取公司或用户的财产、恶意传播漏洞、妨碍业务系统正常运行等行为。

4) 在漏洞测试过程中,需遵守《SRC行业安全测试规范》与《网络安全法》的规定,对正常业务造成明显干扰的,漏洞将作相应降分或0分处理,对于恶意拖取数据等严重越界行为,公司将追究法律责任并配合公安机关取证调查。

5) 白帽子的漏洞报告在漏洞修复前,不得存放于互联网开放服务中(包括但不限于网盘、代码托管平台),若发现漏洞报告在修复前被公开或泄漏的,相应漏洞作0分处理。

6) 同一处漏洞的报告,最早提交者得分;同一处漏洞导致的多个利用点/链,按照危害最高的利用思路进行奖励。

测试范围

Web服务:

*.ximalaya.com 
*.qingxuetang.com 
*.himalaya.com 
*.qijizuopin.com 
*.ximalayaos.com
*.xima.tv
*.xiaoyastar.com
*.zhishidashi.com
*.xmcdn.com 只接收高危及以上漏洞
*.test.ximalaya.com只接收高危及以上漏洞
第三方服务仅接收能够影响到喜马拉雅的高危及以上漏洞

APP服务:

妙呜
顶空
轻学堂 
小雅助手 
奇迹小说
Himalaya
宝贝听故事
小雅AI音响
喜马拉雅FM 
喜马拉雅精品
喜马拉雅主播
喜马拉雅儿童
喜马拉雅急速版


以及其它针对喜马拉雅的威胁情报业务安全问题

报告评分标准

1安全币价值1元人民币,相应漏洞的安全币奖励 = 漏洞分值 * k,k值将根据业务重要程度动态调整。

【严重】分值范围:90-100       【核心业务】10≤k≤20
【高危】分值范围:50-85        【一般业务】5≤k≤10
【中危】分值范围:25-45        【边缘业务】1≤k≤5
【低危】分值范围:5-20          【忽略】      分值0


对于影响特别广泛、危害特别严重的漏洞,可给予特殊高额奖励。

【严重】漏洞: 

    1) 可直接获取核心系统权限的漏洞。包括但不限于代码执行、命令执行、上传获取WebShell、SQL注入或缓冲区溢出获取系统高级权限。 

    2) 可直接获取大量敏感信息的核心数据库SQL注入、接口未授权访问。 

    3) 核心业务的严重逻辑漏洞。包括但不限于任意高权账号登陆与密码修改、大额资金消费、大量敏感数据泄漏。 

【高危】漏洞: 

    1) 可直接获取一般系统权限的漏洞。 

    2) 核心系统的越权敏感操作。包括但不限于越权访问可操作核心业务的管理后台。 

    3) 大量敏感信息泄漏的漏洞。包括但不限于整站源代码泄漏、越权查看大量员工或用户信息。 

    4) 可远程获取客户端权限的漏洞。包括但不限于客户端远程代码/命令执行、远程缓冲区溢出、核心系统页面存储型XSS及可获取Cookie等敏感信息的具有传播性的XSS。 

【中危】漏洞: 

    1) 一般系统的信息泄漏。包括但不限于不涉及太多敏感数据的SQL注入、影响有限的越权访问、源代码或重要系统日志泄漏。 

    2) 可获取敏感信息但需要受害者交互或类似前置条件才能触发的漏洞。包括但不限于敏感数据JSON劫持、支付订单或修改密码等敏感操作的CSRF、一般系统的存储型XSS。 

    3) 一般的逻辑漏洞。包括但不限于一般业务系统的账号越权、获取少量返利或积分。 

【低危】漏洞: 

    1) 轻微信息泄漏。包括但不限于PHPInfo、DebugPage、非核心Config文件等含有少量敏感信息的页面。 

    2) 短信或邮箱轰炸、URL跳转、利用条件苛刻的CSRF漏洞。 

【忽略】无危害: 

    1) 无法利用/无实际危害的漏洞。包括但不限于 不可利用的 Self-XSS(无法分享给其他账号访问/未收到后台记录)、反射XSS、非重要交互(如查询类操作)的 CSRF、静态文件目录遍历、401 认证钓鱼、内网 IP/域名、无敏感信息(如用户昵称、用户个人公开的信息、已脱敏的敏感信息等)的 JSON劫持 、横向短信轰炸、Spring-boot actuator 接口泄漏等。

    2) 内部多次讨论测试但无法复现的漏洞。

    3) 内部已知、正在处理的漏洞。包括但不限于内部或其他白帽子已发现的漏洞。

    4) 无意义的扫描器结果报告。

    5) 非接收范围内的漏洞。

    6)SPF 邮件伪造漏漏洞。

    7)一些功能 BUG,⽆法造成安全风险问题的漏洞。


常见问题&解答


: 首页的贡献值是什么?

: 喜马拉雅SRC的贡献榜排名方式是通过贡献值进行排名,贡献值是根据漏洞的危害和业务系统的重要程度综合评定的一个分数,一定程度上等于安全币计算中的K值,有时也会出现偏离情况。


: 我兑换了平台的礼品,要怎么才能收到奖励?

: 兑换现金奖励后,需要在收货地址中补充,姓名、电话、开户银行(开户行及地址)、银行卡号、身份证号。


: 我对漏洞审核有异议,我可以通过哪些渠道进行申诉?

:  1、在有疑问的漏洞页面提交评论。

      2、通过向security@ximalaya.com发送漏洞复议的邮件。


:我兑换了平台的现金奖励,什么时候会收到打款?

:XMSRC会在当月月底对兑换的礼品进行统计,在次月10日左右向您留的卡号进行打款。