博客公告 / 关于试运营三周的一些问题

作者: YSRC    发布时间: 2016 一月 07

感谢广大白帽子,安全圈人士的帮助和关心,YSRC(同程安全应急响应中心)试运营三周收到白帽子们提交的很多漏洞,可在收到漏洞处理的过程中也发现了很多问题,这边也做个统一的答复,希望白帽子们理解和支持。

关于CSRF漏洞的处理,上线三周总共收到数十枚CSRF漏洞的,其中也有精彩绕过的,也有影响到用户的,不过收到的大多数属于没有实际影响,并且利用有场景,这些我们都在之前做了0.5的评级,折换人民币是100元,这都算前期对大家的鼓励,没有忽略这些漏洞,我们是一个有情怀的SRC(PS:内心十万只CNM,情怀值钱吗~值钱吗~值钱吗?)所以在之后收到CSRF的漏洞中,无实际影响,并且有利用场景的我们会忽略掉,请白帽子们提交的时候还是考虑到对用户是否有影响,利用是否简单方便直通要害,不要让自己辛辛苦苦提交的漏洞被我们忽略,到时候情怀就真不值钱了。

关于越权漏洞的处理,收到了几个越权也是很多影响,可也有一些白帽子提交了无实际影响,利用困难的越权,这边我们也不是不收,可自评等级都很高,和白帽子沟通还出现说我们不承认这是漏洞,我想很多白帽子都可能理解错误,所以特别说一下,关于这种无实际影响,利用困难需要某些特定的场景才能出现的越权,我们会酌情处理,并且还是会修复此类问题。

关于XSS漏洞的处理,有些反射XSS我们是公开不会收的,在评级里面就有说明过(https://sec.ly.com/NoticeDetail?id=1)可有些白帽子就觉得我们既然忽略了就不要去修复这种XSS,修复了又忽略,这种行为是恶劣的,在这我给白帽子们道个歉,我们对XSS漏洞不是不收,并且我们不是一个社交网站,对于这种直接提交一个XSS的我们是不会去评级的,如果你利用起来导致用户有影响,我们会对此进行评级,并且忽略的XSS我们会定期修复一批,希望白帽子对我们理解。

关于撞裤问题,前段时间一个白帽子提交了撞裤,我们给了很高的评级,同程对撞裤是很重视的,特别是主要的会员接口,所以也请白帽子积极发现这种问题来提醒我们,让同程的安全登录更安全。

关于公开的漏洞,我们是国内第一家公开自家漏洞供白帽子们学习,对公众负责的一家安全应急响应中心,公开每个确认并修复的漏洞细节,可也遇到了一些麻烦,比如公开的漏洞被发现是通用的问题,导致白帽子多次提交这种问题,这边需要说一下,白帽子提交漏洞,我们确认修复完成之后,公开的方法,我们对下次提交该方法发现漏洞的降级处理,如果多次提交同样方法发现的漏洞,我们会忽略或者酌情评级,还请广大白帽们提交,做一个SRC不容易,做一个开放的SRC更不容易,thanks!