公告编号:LYSRC-0002作者:LYSRC发布日期:2023/07/28
《同程旅行外部威胁处理规则V2.2》 发布日期:2021-11-8,生效日期:2021-11-9
2023.7.28更新:更新公司品牌说明,替换“同程艺龙”为“同程旅行”;更新一般业务范围的说明。
本规则仅适用于同程旅行漏洞反馈平台(sec.ly.com)所收到的安全漏洞报告。
测试范围(包括但不限于):
部分*.ly.com、*.elong.com、*.17u.cn、*.17usoft.com等;
微信端支付页面火车票机票和酒店功能下所有功能,以及同程旅行其他业务相关小程序;
同程旅行app、艺龙旅行app等。
注:
① 由于同程金服和同程旅行非同一家公司,同程金服(jr.ly.com)不在漏洞接受范围内,相关漏洞建议提交至TJSRC(https://securitytcjf.com);
② 同程生活、去哪儿业务不在漏洞接受范围内;
③ 合作业务,合作原因挂同程旅行相关图标业务不在漏洞接受范围内;
④ 未上线项目、暂停维护项目不在漏洞接受范围内。
同程旅行机票(国内机票、国际机票)、同程商旅(机票、火车票)、住宿(国内酒店、国际酒店)、交通(火车票)、同程旅行小程序和APP双中心功能(会员、订单)等主营业务。
交通(汽车票、船票、打车、租车)、住宿(民宿)、里程商城、景点门票、旅游度假、客服、邮箱、OA等业务功能。
(1)除以上外,同程旅行收购或孵化且其业务已由同程旅行负责研发和运维的业务;
(2)核心业务&一般业务中的非主营业务。
LYSRC 威胁报告主要包含漏洞报告、威胁情报。
根据威胁对业务的安全风险程度,威胁分为严重、高危、中危、低危、无影响(忽略)五个等级。
最终威胁报告得分 = 威胁基础积分 * 业务威胁等级系数
所有威胁报告评分综合利用危害、影响的数据量、业务核心等级综合评估威胁等级,综合漏洞利用难度、漏洞影响评估威胁基础积分。威胁基础积分范围和威胁等级系数参见表1-1。
对应积分见表1-2:
安全币对应积分情况说明,LYSRC积分用于贡献榜排名,安全币用于礼品兑换:
(1)一般情况下1积分=1安全币=10人民币,特殊情况除外,如与第三方开展活动时,LYSRC仅以积分对漏洞进行评分,相应奖励在第三方平台兑换等情况。
(2)由于威胁情报涉及内容同安全漏洞有很大差别,故给予安全币和积分值也和安全漏洞计算方式不同,每个已确认威胁情报奖励同报告者商讨决定,对于价值较小的威胁情报不计入安全币奖励,但会给予相应积分值以表感谢。
① 直接获取核心系统权限(服务器端权限、客户端权限)的漏洞。包括但不限于命令注入、ssh弱口令、远程命令执行、上传获取 WebShell并可执行、SQL 注入获取系统权限、缓冲区溢出漏洞等;
② 逻辑类漏洞:核心生产业务的严重逻辑设计缺陷和流程缺陷。包括但不限于主站任意账号登录和密码修改、注销账号、任意账号资金消费、0元购等导致公司或用户大量资金损失的支付系统或支付交易流程的漏洞;
③ 直接导致核心业务拒绝服务的漏洞。包括通过该远程拒绝服务漏洞直接导致线上核心应用、系统、服务器无法继续提供服务的漏洞;
④ 严重级别的敏感信息泄露。包括但不限于核心业务的SQL 注入、越权遍历、外网弱口令直连核心数据库等导致能获取特大量且数据类型在三种及以上用户敏感字段的信息泄露漏洞。
① 直接获取一般系统权限(服务器端权限、客户端权限)的漏洞。包括但不限于命令注入、ssh弱口令、远程命令执行、上传获取 WebShell并可执行、SQL 注入获取系统权限、缓冲区溢出漏洞等;
② 逻辑类漏洞:包括但不限于绕过认证直接访问核心业务管理后台且可操作、核心业务系统非授权访问、核心业务后台弱密码、增删改查任意用户重要信息或状态、非主站账号的账号逻辑类、导致公司或用户有限资金损失的漏洞;
③ 可远程获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出及其它逻辑问题导致的客户端漏洞;
④ 高风险的敏感信息泄露:涉及用户三种及以上敏感字段大量泄露的数据泄露漏洞及其他敏感信息泄露漏洞。漏洞类型包括但不限于SQL注入、越权遍历、外网弱口令直连数据库、SSRF、存储型XSS、核心功能的源代码泄露等。
① 一般的信息泄露。包括但不限于影响数据量有限或者敏感程度有限的SQL 注入、越权遍历漏洞,包含服务器或数据库敏感信息的源代码、系统日志等信息泄露漏洞;
② 需受害者交互或其他前置条件才能获取用户身份信息的漏洞。包括但不限于包含用户、网站敏感数据的JSON Hijacking、核心业务高危场景(修改密码、删除重要信息、支付、下单等操作)的CSRF漏洞;
③ 普通的逻辑缺陷和越权。包括但不限于不涉及业务系统用户支付、订单、个人敏感信息类的越权行为和设计缺陷等;
④ 不影响全量用户的存储XSS漏洞;
⑤ 网络限制的SSRF漏洞。
① 轻微信息泄露,包括但不限于SVN 信息泄露、PHPinfo、异常和含有少量敏感字段的调试信息、Django Debug、无敏感信息的未授权项目、日志打印及配置等泄露情况;
② 只在特定情况之下才能获取用户信息的漏洞,包括但不限于反射XSS(包括 DOM 型)、包含用户非敏感信息的JSON Hijacking等;
③ 利用场景有限的漏洞,包括但不限于短信、邮箱炸弹,URL跳转等;
④ 利用有难度但存在安全隐患的漏洞,包括但不限于登录接口缺陷,非核心业务敏感操作功能点的CSRF漏洞等。
⑤ 无回显SSRF
① 无法利用/无实际危害的漏洞。包括但不限于 不可利用的Self-XSS、非重要交互的 CSRF、静态文件目录遍历、401 认证钓鱼、内网 IP/域名、无敏感信息的 JSON Hijacking 、横向短信轰炸、无敏感信息的logcat、不能解析的任意文件上传、无意义的源码或配置文件泄露、普通用户弱口令等;
② 不能重现的漏洞。包括但不限于经 LYSRC 审核者多次确认无法重现的漏洞;
③ 内部已知、正在处理的漏洞,包括但不限于如 Discuz!等已在其他平台公开通用的,白帽子、内部已发现的漏洞;
④ 非接收范围或对实际业务无影响的 Bug(严重的 bug 评分确认可参考通用原则)。包括但不限于产品功能缺陷、页面乱码、样式混乱;
⑤ 不接收无实际意义的扫描器结果报告;
⑥ 无证据支持的情况,包括但不限于账号被盗即表示有漏洞。
① 针对核心业务系统的入侵情报,如核心服务器的入侵且提供了入侵方式等相关线索;
② 重大0Day漏洞。如核心服务器软件、系统等未公开或半公开漏洞,核心办公软件等未公开或半公开的漏洞等;
③ 重要业务数据库被拖取且提供了数据库名或数据库文件、时间等相关线索;
④ 对核心业务造成重大影响的威胁组织活动情报。如:外部渠道传播的与同程旅行用户数据、订单数据等内部数据特大量数据且具有足够的证据链,目前已经导致或者正在发生的大规模薅羊毛等威胁情报。
① 对非核心业务系统的入侵情报;
② 对利用业务规则缺陷大规模低价购买行为、薅羊毛等事件提供相关切实线索;
③ 可造成重大影响的新型病毒、木马、蠕虫等正在发生的事件。如因重要业务的存储XSS漏洞导致的大规模蠕虫事件等;
④ 对核心业务造成较大影响的威胁组织活动情报。
① 一般风险的业务安全问题。如营销活动作弊、业务规则绕过事件情报。对有针对性的刷积分、作弊、绕过现有认证或者流程的事件提供相关线索。
① 同程旅行核心业务相关的钓鱼网站、仿冒APP等;
② 其他泄露了少量敏感信息的威胁情报,如网盘、文库等;
① 不能证实或人为制造的等虚假或无效威胁情报;
② LYSRC已知或不具时效性的威胁情报;
③ 提交可能薅羊毛、套现的QQ群号,且未提供其他有效信息;
④ 运营预期之内或无法造成资金损失的问题,包括但不限于使用多个账号领取小额奖励的正常业务活动;
⑤ 提交内容未包含攻击路径和攻击方法;
1、白帽子登录LYSRC提交威胁报告后,工作人员会在三个工作日内对报告进行评估处理并计分。必要时会与报告者沟通确认,请报告者予以协助。
2、同一威胁报告(包括web漏洞、客户端漏洞、威胁情报)最早提交者得分,提交网上已公开的报告不计分。
3、同一漏洞导致的多个利用点按照级别最高的奖励执行。
如:同个 JS 引起的多个 XSS 漏洞、同一个发布系统引起的多个页面的 XSS 漏洞、通用框架导致的整站问题等;
4、同一系统只收取前三个接口产生的同类型的漏洞,漏洞收取时限为3个月。
5、LYSRC鼓励提交高质量的威胁报告,如新颖的绕过方式,有一定技术深度但危害较小的报告,会综合评估因素给出超出评级规则的奖励来激励报告者。
6、对于非同程旅行发布的产品和业务,如投资公司、子公司、合资公司等,评分上会有所减少,但会参考实际危害和影响做具体评级操作,其处理和修复不能保证在预定时间内,请报告者理解。
7、报告者在进行渗透测试时,如在线上对业务做增删改操作时,请勿直接对正常用户数据做操作,数据添加请在标题或明显字段增加【我是测试】字样,以便于 LYSRC 和业务方识别数据真实性。
8、漏洞测试必须遵循《SRC行业安全测试规范》,对以漏洞测试为借口,利用漏洞进行损害用户利益、影响业务正常运作、盗取用户数据、未授权公开漏洞等行为在溯源发现后将不会计分,同时同程旅行保留采取进一步法律行动的权利。
9、同程旅行集团及所属公司员工不参与漏洞奖励计划。
在威胁处理过程中,如果报告者对处理流程、威胁评定、威胁评分等有异议的,请联系LYSRC 工作人员进行交流反馈,LYSRC 将根据威胁报告者利益优先的原则进行处理。
FAQ:
Q: LYSRC 平台的 1 安全币相当于多少人民币,为什么只有积分却安全币为0?
A:截止目前的奖励标准,LYSRC 平台 1 安全币相当于 10元人民币,除特殊情况外,安全币等值于积分(特殊情况:如和第三方开展活动,LYSRC仅以积分对漏洞进行评分,相应奖励在第三方平台兑换)。
Q: LYSRC 平台礼品兑换发放是不是有固定规则?
A:是的,每月1次兑换发放。
Q: 威胁报告在被评分之后,安全币是不是会有变动?
A:是的,少数情况下会有变动。一种是LYSRC工作人员在评分之后发现评分给少或者给多;另外一种是报告者反馈有异议后,工作人员综合情况做出的变动。LYSRC将尽力减少甚至避免此情况,给出一个客观且无争议的评级。
Q: 威胁报告的确认、处理周期会按照标准来执行吗?
A:常规情况按照标准执行,但也会存在周期较长的情况,如 LYSRC 做活动时、业务大促、客户端漏洞和安全情报等。同时也有可能由于报告者提供的内容不够详细导致确认延迟,请各位理解。因此请报告者尽可能提交详细步骤或 POC,加快工作人员处理速度。
Q: LYSRC有没有先“忽略” 之后偷偷修复情况?
A:绝对不会。提交的“威胁”一旦进入“忽略”状态,工作人员会在备注中说明缘由,LYSRC会根据规则操作每一个报告者提交的威胁,有依有据,客观中肯。当然,中间存在因业务变动导致“威胁”不存在的可能性。但无论如何,LYSRC都不会“偷偷”修复。