一、标准范围说明
本标准仅适用于同程数科安全响应中心(sec.securitytcjf.com)所收到的外部威胁报告。测试范围(包括但不限于):
1、同程数科站点:
*.innhome.com.cn、*.tongcaitong.com,*.aigobo.cn、*.tongyidai.cn, *.tongshuyun.com等。
2、微信小程序:
酒店之家、安芯洗等,可按照业务名称自行搜集。
3、app:
酒店之家,同采通,安芯等。
注:
(1)由于同程数科和同程艺龙的SRC平台与业务生态为各自独立运行,所以非同程数科业务资产范围内的漏洞不在接受范围内,相关漏洞建议提交至LYSRC(https://sec.ly.com/);
(2)合作业务,合作但无管理、运营责任的业务不在漏洞接受范围内;
(3)未上线项目、暂停维护项目、排期下线业务不在漏洞接受范围内。
二、业务定义
1、 一般业务
酒店之家、同驿贷、同驿融(https://travel.fireflyloan.cn/module/home )、BTA商旅账户服务平台(http://tmc.lylend.com/login )、同采通等;
爱购保,爱购保前端(https://www.hizom.cn/agb/web/ ,仅限/agb/二级域名之下的应用,禁扫);
供应商服务后台(http://payment.ly.com/mcs-web/system/login);物联网资产(*.tongshuyun.com);安芯洗、安芯租洗等。
2、 边缘业务
(1)除以上外,由同程数科负责研发和运维但责任主体非数科本身的业务;
(2)核心业务&一般业务中的非主营业务。
(3)除非主营业务外,存在一般业务里有边缘模块同样归类于边缘业务的情况,这些边缘模块的定义为:只为满足to B企业用户非业功能性需求,不影响业务连续性、不涉及支付交易、不涉及用户前端和服务后端交互、不涉及公司和个人数据的传递、泄露等。
【新增卡回收资产:】
oss:
https://oss.wnzxsl.com
https://oss.zhejjyue.com
https://oss.yiqiwansw.com
监控系统:
https://se.zhejjyue.com
日志系统:
https://plumelog.zhejjyue.com
官网:
https://www.wnzxsl.com
https://www.yiqiwansw.com
https://www.zhejjyue.com
H5
https://user.yiqiwansw.com
https://user.wnzxsl.com
https://user.zhejjyue.com
api
https://openapi.zhejjyue.com
https://openapi.yiqiwansw.com
三、威胁报告评分标准
1、威胁说明
TJSRC 威胁报告主要包含威胁漏洞、威胁情报。
根据威胁发生的可能性和损害的严重程度,威胁分为严重、高危、中危、低危、无影响(忽略)五个等级。
最终威胁报告得分 = 漏洞基础风险值 * 业务威胁等级系数*V,V表示漏洞造成的资损系数(生产应用、生产数据损失,1/4~2),其余详细说明见表1-1。
对最终威胁报告得分公式进行如下补充说明:
1. 漏洞有各自对应的基础风险值,由漏洞利用的难易度、漏洞被利用所造成的影响度综合决定。
2. 业务威胁等级系数,由资产的重要程度和发现漏洞的危害程度综合决定,如在核心业务所发现的高危漏洞,业务威胁等级系数是50。
表1-1
漏洞等级/基础风险值 核心业务威胁等级系数 一般业务威胁等级系数 边缘业务威胁等级系数
严重/9~10
80 60 30
高危/6~8 50 40 15
中危/3~5 25 15 5
低危/1-2 10 5 3
(例:如提交的漏洞影响对象为核心业务,且被评为高危,则取核心业务威胁等级系数50,会获得(6~8)x50*V,300~400*V 积分的报告得分)
安全币对应积分情况说明,TJSRC积分用于贡献榜排名,安全币用于礼品兑换:
1. 一般情况下 1积分=0.1贡献值=1安全币=(等价)=10人民币。
2. 存在因白帽子态度端正且威胁报告工整,信息表达高效,虽所提交漏洞无法造成威胁,但仍会酌情给贡献值的情况,以此鼓励有水平有道德的白帽子的积极性。
3. 由于威胁情报涉及内容同安全漏洞有很大差别,故给予安全币和积分值也和安全漏洞计算方式不同,每个已确认威胁情报奖励同报告提交者商讨决定,对于价值较小的威胁情报不计入安全币奖励,但会给予相应积分值以表感谢。
2、漏洞报告评审标准
特别说明:请按照[漏洞报告提交要求]进行漏洞提交。这很重要,也许直接影响漏洞的奖励评分。
(1)严重漏洞:
1. 直接获取核心系统权限(服务器端权限、客户端权限)的漏洞。包括但不限于命令注入、ssh弱口令、远程命令执行、上传获取 WebShell并可执行、SQL 注入获取系统权限、缓冲区溢出漏洞等;
2. 逻辑类漏洞:核心生产业务的严重逻辑设计缺陷和流程缺陷。包括但不限于核心站点或业务任意账号登录和密码修改、注销账号、任意账号资金消费、0元购等导致公司或用户大量资金损失的支付系统或支付交易流程的漏洞;
3. 直接导致核心业务拒绝服务的漏洞。包括通过该远程拒绝服务漏洞直接导致线上核心应用、系统、服务器无法继续提供服务的漏洞;
4. 严重级别的敏感信息泄露。包括但不限于核心业务的SQL 注入、越权遍历、外网弱口令直连核心数据库等导致能获取特大量且数据类型在三种及以上用户敏感字段的信息泄露漏洞。
(2)高危漏洞:
1. 直接获取一般系统权限(服务器端权限、客户端权限)的漏洞。包括但不限于命令注入、ssh弱口令、远程命令执行、上传获取 WebShell并可执行、SQL 注入获取系统权限、缓冲区溢出漏洞等;
2. 逻辑类漏洞:包括但不限于绕过认证直接访问核心业务管理后台且可操作、核心业务系统非授权访问、核心业务后台弱密码、增删改查任意用户重要信息或状态、非主站账号的账号逻辑类、导致公司或用户有限资金损失的漏洞;
3. 可远程获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出及其它逻辑问题导致的客户端漏洞;
4. 高风险的敏感信息泄露:涉及用户三种及以上敏感字段大量泄露的数据泄露漏洞及其他敏感信息泄露漏洞。漏洞类型包括但不限于SQL注入、越权遍历、外网弱口令直连数据库、SSRF、存储型XSS、核心功能的源代码泄露等。
(3)中危漏洞:
1. 一般的信息泄露。包括但不限于影响数据量有限或者敏感程度有限的SQL 注入、越权遍历漏洞,包含服务器或数据库敏感信息的源代码、系统日志等信息泄露漏洞;
2. 需受害者交互或其他前置条件才能获取用户身份信息的漏洞。包括但不限于包含用户、网站敏感数据的JSON Hijacking、核心业务高危场景(修改密码、删除重要信息、支付、下单等操作)的CSRF漏洞;
3. 普通的逻辑缺陷和越权。包括但不限于不涉及业务系统用户支付、订单、个人敏感信息类的越权行为和设计缺陷等;
4. 出现争议时,以数据安全风险和应用安全风险为依据进行判定
(4)低危漏洞【低危漏洞将不再收取】
1. 轻微信息泄露,包括但不限于路径、SVN 信息泄露、PHPinfo、异常和含有少量敏感字段的调试信息、Django Debug、无敏感信息的未授权项目、日志打印及配置等泄露情况;
2. 只在特定情况之下才能获取用户信息的漏洞,包括但不限于反射XSS(包括 DOM 型)、包含用户非敏感信息的JSON Hijacking等;
3. 利用场景有限的漏洞,包括但不限于短信、邮箱炸弹,URL跳转等;
4. 利用有难度但存在安全隐患的漏洞,包括但不限于登录接口缺陷,非核心业务敏感操作功能点的CSRF漏洞等。
5. 不影响全量用户的存储XSS漏洞;
6. 无回显或有网络限制的SSRF漏洞。
(5)无危害(忽略):
1. 无法利用/无实际危害的漏洞。包括但不限于 不可利用的Self-XSS、非重要交互的 CSRF、静态文件目录遍历、401认证钓鱼、内网 IP/域名、无敏感信息的 JSON Hijacking 、横向短信轰炸、无敏感信息的logcat、不能解析的任意文件上传、无意义的源码或配置文件泄露、普通用户弱口令等;
2. 不能重现的漏洞。包括但不限于经 TJSRC 审核者多次确认无法重现的漏洞;
3. 内部已知、正在处理的漏洞,包括但不限于如 Discuz!等已在其他平台公开通用的,白帽子、内部已发现的漏洞;
4. 非接收范围或对实际业务无影响的Bug(严重的 bug 评分确认可参考通用原则)。包括但不限于产品功能缺陷、页面乱码、样式混乱;
5. 不接收无实际意义的扫描器结果报告;
6. 无证据支持的情况,包括但不限于账号被盗即表示有漏洞。
3、威胁情报报告评审标准
(1)严重:
1. 针对核心业务系统的入侵情报,如核心服务器的入侵且提供了入侵方式等相关线索;
2. 重大0Day漏洞。如核心服务器软件、系统等未公开或半公开漏洞,核心办公软件等未公开或半公开的漏洞等;
3. 重要业务数据库被拖取且提供了数据库名或数据库文件、时间等相关线索;
4. 对核心业务造成重大影响的威胁组织活动情报。如:外部渠道传播的与同程数科用户数据、订单数据等内部数据特大量数据且具有足够的证据链,目前已经导致或者正在发生的大规模薅羊毛等威胁情报。
(2)高危:
1. 对非核心业务系统的入侵情报;
2. 对利用业务规则缺陷大规模低价购买行为、薅羊毛等事件提供相关切实线索;
3. 可造成重大影响的新型病毒、木马、蠕虫等正在发生的事件。如因重要业务的存储XSS漏洞导致的大规模蠕虫事件等;
4. 对核心业务造成较大影响的威胁组织活动情报。
(3)中危:
1. 一般风险的业务安全问题。如营销活动作弊、业务规则绕过事件情报。对有针对性的刷积分、作弊、绕过现有认证或者流程的事件提供相关线索。
(4)低危:
1. 同程数科核心业务相关的钓鱼网站、仿冒APP等;
2. 其他泄露了少量敏感信息的威胁情报,如网盘、文库等;
(5)无危害(忽略):
1. 不能证实或人为制造的等虚假或无效威胁情报;
2. TJSRC已知或不具时效性的威胁情报;
3. 提交可能薅羊毛、套现的QQ群号,且未提供其他有效信息;
4. 运营预期之内或无法造成资金损失的问题,包括但不限于使用多个账号领取小额奖励的正常业务活动;
5. 提交内容未包含攻击路径和攻击方法;
6. 提交报告潦草混乱,内容信息率极低,包括无法条理清晰的还原攻击路径、不提供测试手法、不一并提交漏洞测试数据(如弱口令,绕过payload等。
四、通用原则
1、白帽子登录TJSRC提交威胁报告后,工作人员会在三个工作日内对报告进行评估审核。必要时会与报告者沟通确认,请报告者予以协助。
2、同一威胁报告(包括web漏洞、客户端漏洞、威胁情报)最早提交者得分,提交网上已公开的报告不计分。
3、同一漏洞导致的多个利用点按照级别最高的奖励执行。 如:同个 JS 引起的多个 XSS 漏洞、同一个发布系统引起的多个页面的 XSS 漏洞、通用框架导致的整站问题等。
4、 同一系统只收取前三个接口产生的同类型的漏洞,漏洞收取时限为3个月。
5、TJSRC鼓励提交高质量的威胁报告,如新颖的绕过方式,有一定技术深度但危害较小的报告,会综合评估因素给出超出评级规则的奖励来激励报告者。
6、报告者在进行渗透测试时,如在线上对业务做增删改操作时,请勿直接对正常用户数据做操作,数据添加请在标题或明显字段增加【我是测试】字样,以便于 TJSRC 和业务方识别数据真实性。
7、漏洞测试必须遵循《[TPSA19-22]SRC行业安全测试规范》,对以漏洞测试为借口,利用漏洞进行损害用户利益、影响业务正常运作、盗取用户数据、未授权公开漏洞等行为在溯源发现后将不会计分,同时同程数科保留采取进一步法律行动的权利。
8、本标准所涉及的全部内容最终解释权归同程数科所有。
五、争议解决办法
在威胁处理过程中,如果报告者对处理流程、威胁评定、威胁评分等有异议的,请联系TJSRC 工作人员进行交流反馈,TJSRC 将根据威胁报告者利益优先的原则进行处理。
FAQ:
Q: TJSRC 平台的 1 安全币相当于多少人民币价值,为什么只有积分却安全币为0?
A:截止目前的奖励标准,TJSRC 平台 1 安全币相当于 10元人民币,除特殊情况外,安全币等值于积分(特殊情况:如和第三方开展活动,TJSRC仅以积分对漏洞进行评分,相应奖励在第三方平台兑换)。
Q: 威胁报告在被评分之后,安全币是不是会有变动?
A:是的,少数情况下会有变动。一种是TJSRC工作人员在评分之后发现评分给少或者给多;另外一种是报告者反馈有异议后,工作人员综合情况做出的变动。TJSRC将尽力减少甚至避免此情况,给出一个客观且无争议的评级。
Q: 威胁报告的确认、处理周期会按照标准来执行吗?
A:常规情况按照标准执行,但也会存在周期较长的情况,如 TJSRC 做活动时、业务大促、客户端漏洞和安全情报等。同时也有可能由于报告者提供的内容不够详细导致确认延迟,请各位理解。因此请报告者尽可能提交详细步骤或 POC,加快工作人员处理速度。
Q: TJSRC有没有先"忽略" 之后偷偷修复情况?
A:绝对不会。提交的"威胁"一旦进入"忽略"状态,工作人员会在备注中说明缘由,TJSRC会根据规则操作每一个报告者提交的威胁,有依有据,客观中肯。当然,中间存在因业务变动导致"威胁"不存在的可能性。但无论如何,TJSRC都不会"偷偷"修复。
Q:如果双方关于威胁报告积分不能达成一致怎么办?
A:这是属于极少数的情况,如果白帽子无法接受TJSRC工作人员按照最新版本《TJSRC外部威胁处理标准》给出的积分评判和对应奖励,且该白帽子出现多次相关争议,综合考虑水平和素质,我们会建议该白帽子将漏洞提交到CNVD。
最后,希望各位白帽子能不忘初心,在挖取src获得奖励的同时,也能通过挖洞的过程,提高自己的技术水平和职业素养!(有任何问题邮件联系tjsrc@ly.com)
捐款成功,感谢您的无私奉献
