新东方安全应急响应中心(XDFSRC),作为新东方与白帽子之间的交流平台,非常欢迎广大白帽子向我们反馈新东方相关业务的安全漏洞及威胁情报。
感谢白帽子帮助我们不断地提升和完善新东方相关业务系统的安全性,共建安全健康的互联网环境。
实施日期:
本规范自发布之日起施行。
基本原则:
新东方SRC对每一位报告者反馈的问题都有专人进行跟进和跟踪,并及时反馈结果。同时,禁止在未获得新东方授权的情况下向第三方披露或传播漏洞信息。新东方SRC在跟进报告者反馈的问题时可能需要报告者的帮助,为了有效的跟进问题可能需要报告者协助一同复现问题。
新东方SRC反对和谴责一切遮掩漏洞细节或抗拒协助的报告行为。对于提交高质量报告并在报告、反馈和跟进过程中提供有效帮助的报告者, 新东方也会酌情给予奖励。
新东方SRC反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害新东方相关系统及用户利益的黑客行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、 恶意传播漏洞等,我们保留追究法律责任的权利。
禁止行为:
1.禁止在未获得新东方授权的情况下向第三方披露或传播漏洞信息。
2.禁止使用扫描器、自动化工具,禁止破坏性测试,禁止影响业务的正常运行。
3.禁止以验证漏洞的名义获取超过10条以上数据。
如发现违规行为,我们将取消漏洞奖励,并采取必要的法律措施。
漏洞奖励机制:
新东方采用漏洞金币/积分作为漏洞奖励,按漏洞奖励按应用资产的重要性及漏洞的影响来计算每个漏洞的金币(10金币=1RMB)
新东方根据应用的重要程度,将业务应用划分为【核心应用】、【一般应用】、【边缘应用】三类:
(一)核心应用包括:
● 新东方主站及下属相关APP
● 新东方云教室主站(*.roombox.xdf.cn)
● 新东方前途出国(*.liuxue.xdf.cn)
● 东方甄选主站(*.dfzxvip.com)及“东方甄选APP”
(二)一般应用包括:
除核心应用外,新东方集团及下属主要机构的站点或应用:
主要包括:
● 新东方在线主站(*.koolearn.com)注1
● 新东方游学(youxue.xdf.cn)下属相关应用
● 乐词(leci.com)及相关移动应用
● 比邻东方主站(*.blingabc.com)
● 新东方AI开发平台 (*.ai.xdf.cn)
● 少儿编程( code.xdf.cn)
● 斯芬克:(sfkedu.com)
● 大禹文化(dogwood.com.cn)
● 高考研究院:(xdfgk.cn)
● *.staff.xdf.cn域名所关联的应用
(三)边缘应用包括:
除集团核心业务、一般业务应用外的其他应用
注1:暂不收取新东方旗下 “新东方在线“的CSRF漏洞,请白帽子关注其他业务系统安全。
注2:如非核心应用出现信息泄露方面的漏洞,将酌情进行评分提升。
不同的安全漏洞和威胁情报信息,金币奖励不同,具体见表:
| 严重 | 高危 | 中危 | 低危 | 无影响 | |
| 核心应用 | 10000-8000 | 8000-4000 | 4000-2000 | 2000-500 | 0 |
| 一般应用 | 8000-5000 | 5000-3000 | 3000-1500 | 1500-200 | 0 |
| 边缘应用 | 5000-3000 | 3000-2000 | 2000-1000 | 1000-100 | 0 |
漏洞/情报严重性分级说明:
【严重】
安全漏洞:
1. 直接获取核心系统权限的漏洞。包括但不仅限于利用命令执行、代码执行、植入Webshell等各类可以获取核心系统权限的漏洞;
2. 直接导致业务系统拒绝服务的漏洞。包括但不仅限于利用漏洞或业务逻辑漏洞直接导致系统业务不可用;
3. 严重的敏感信息泄露。包括但不仅限于核心 DB(资金、订单、用户信息)的 SQL注入,可获取大量核心用户的身份信息、订单信息等接口问题引起的大批量敏感信息泄露。涉及用户数据量超过10W条;
4. 核心业务的逻辑漏洞,能够大量获取利益造成公司、用户损失的漏洞,包括但不限于账密校验逻辑、核心数据接口验证逻辑、支付逻辑漏洞等。
安全情报
1.可以证明的有新东方相关的核心业务、办公网络的入侵情报,核心产品的漏洞情报等;
2.与新东方业务相关的重大0Day漏洞情报;
3.与新东方相关的大量用户账户信息泄露(可证明如:聊天截图、泄露信息用例等)。
【高危】
安全漏洞
1. 敏感信息泄露。包括但不限于遍历导致大量敏感数据泄露、数据库SQL注入、代码仓库源码泄露、硬编码等问题引起的敏感信息泄露,影响数据量超过5w条;
2. 获取系统权限漏洞。包括但不限于绕过认证访问管理后台以修改用户信息,或利用远程命令执行、任意代码执行,AK泄露等方式获取大量内网敏感信息,影响数据量超过5w条;
3. 移动app或小程序漏洞。通过逆向分析等方式,破解app或小程序业务逻辑,绕过身份验证措施获取用户信息,影响数据量超过5w条;
4. 越权提权操作。包括但不限于越权修改重要信息、修改订单金额并支付、重要业务配置修改等行为;
5. 大范围影响用户的其他漏洞。包括但不限于可造成自动传播的重要页面的存储型XSS、影响用户订单交易的漏洞、影响用户密码、验签安全性的漏洞;
6. 业务系统任意文件读取,删除,创建;
7. 一般的逻辑设计缺陷和流程缺陷。包括但不限于通过业务接口批量发送任意消息(需要1分钟内大于30条的截图)、任意账号资金消费、批量修改任意帐号密码漏洞。
安全情报
1. 能够帮助完善产品提供新型攻击方式、技巧、绕过限制等。
2. 用户相关敏感信息泄露
【中危】
安全漏洞
1. 普通安全漏洞。包括但不限于页面的存储型XSS、反射型DOM-XSS、SSRF漏洞等;
2. 普通越权操作。包括但不限于遍历id获取其他id用户信息,弱口令访问系统信息;
3. 普通信息泄漏。包括但不仅限客户端密码明文传输、web路径遍历、系统路径遍历、文件未授权访问、敏感信息的JSONP劫持、包含敏感信息的源代码泄露;
4. 本地数据库注入(可造成信息泄漏或其他危害的);
5. 普通的逻辑设计缺陷和流程缺陷,如短信验证码重放攻击、出厂设置保护、密码保护。(需有30条以上的短信证明截图)。
安全情报
1. 与新东方业务可关联的新型的攻击技术或方法。
2. 产品运维问题。
【低危】
安全漏洞
1. 反射型XSS漏洞
2. 轻微信息泄露。包括但不限于路径信息泄露、SVN信息泄露、PHPinfo、异常信息泄露、.git文件泄露、Django Debug、phpinfo、服务端业务日志内容;
3. 轻微影响的漏洞。包括但不限于难以利用的SQL注入、CSRF、URL跳转漏洞等;
4. 影响有限的设计缺陷和流程缺陷,或影响较大的客户端不安全配置;
5. 频控缺陷漏洞,包括但不限于短信炸弹、用户账户密码暴力破解、系统弱口令。
安全情报
1. 威胁组织基础信息。
2. 例如:包括但不限于威胁组织相关人员、架构、规模、地域、活动情况等信息、交流及销售渠道、使用的工具和平台、造成的相关影响、行业动态等;
3. 低风险业务安全问题。如恶意注册,恶意群发邮件等;
4. 针对新东方的APT攻击情报;
5. 舆情舆论。
【无影响】
安全漏洞
1. 不涉及安全问题的BUG。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题;
2. 无法利用的漏洞。Self型XSS、无敏感操作的CSRF、无意义的异常信息泄露、内网IP地址/域名泄露、无敏感信息越权访问、401基础认证钓鱼;
3. 不能直接反映漏洞存在的问题。包括但不限于纯属用户猜测的问题。
4. 非新东方业务漏洞;
5. 与已收录漏洞相同的漏洞。
安全情报
1.无效情报是指错误、无意义或根据现有信息无法调查利用的威胁情报.
审核通用原则:
1. 标准评分仅适用于新东方相关产品和内外部系统,可威胁到新东方相关产品和业务相关的情报。与新东方无关的漏洞和情报不计贡献;
2. 第三方产品漏洞只给第一个提交者计算贡献,不同版本的同一处漏洞视为相同漏洞;
3. 一个漏洞源导致的多个漏洞算一个漏洞;
4. 各等级漏洞的奖励由利用难度以及影响范围等因素综合评定,若触发条件苛刻,包括但不限于特定浏览器才能触发的xss漏洞,可进行降级处理;
5. 由于某漏洞(如:弱口令)进入应用,利用业务系统固有功能所引发的漏洞等风险,将以最原始引发漏洞问题进行评估,但会视业务重要程度给予一定提升;
6. 同一漏洞或情报首位报告者计算奖励,其他报告者不计,由于情报的时效性,报告已知或已失效的情报不计分;
7. 已公开的漏洞或情报不计贡献;由一个漏洞产生的内部大规模排查解决过程中提交的相关漏洞,评分减半。提交与已收录漏洞相同的漏洞不进行奖励。
8. 人为自行制造安全威胁或安全事件情报的不计分,涉及到新东方的所有漏洞和情报在新东方主动公开前公开,给除新东方授权的任何人,均不计分,同时新东方将保留采取进一步法律行动的权利;
8.白帽子如果主动要求忽略漏洞重新提交,可能在下次提交前可能会有其他人提交该漏洞,需要自行承担重复风险;
9.若漏洞同源或重复,审核人员会统一在漏洞评论处给出编号,方便对相似漏洞进行溯源、归类。
争议解决办法:
漏洞处理过程中,如果漏洞报告者对处理流程、评级评分具有异议的,请通过邮件发送至src@xdf.cn进行反馈,XDFSRC将根据漏洞报告者利益优先的原则进行处理。
