感谢白帽子帮助我们不断地提升和完善新东方相关业务系统的安全性,共建安全健康的互联网环境。
为了进一步完善和优化漏洞评判标准减少争议,我们对新东方SRC漏洞收集范围及标准进行了更新。
实施日期:
本规范自发布之日起施行。
基本原则:
1.新东方SRC对每一位报告者反馈的问题,都有专人进行跟进并及时反馈结果。同时,禁止在未获得新东方授权的情况下向第三方披露或传播漏洞信息。
2.新东方SRC在跟进报告者反馈的问题时,可能需要报告者协助一同复现问题,或需要报告者补充提交漏洞资料。
3.新东方SRC反对和谴责一切遮掩漏洞细节或抗拒协助的报告行为。对于提交高质量报告并在报告、反馈和跟进过程中提供有效帮助的报告者, 新东方也会酌情给予奖励。
4.新东方SRC反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害新东方相关系统及用户利益的黑客行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、 恶意传播漏洞等,我们保留追究法律责任的权利。
禁止行为:
1. 禁止在未获得新东方授权的情况下向第三方披露或传播漏洞信息。
2.禁止使用扫描器、自动化工具,禁止破坏性测试,禁止影响业务的正常运行。
3.禁止以验证漏洞的名义获取超过10条以上用户数据。
如发现违规行为,我们将取消漏洞奖励,并采取必要的法律措施。
漏洞奖励机制:
新东方采用漏洞金币/积分作为漏洞奖励,按漏洞奖励按应用资产的重要性及漏洞的影响来计算每个漏洞的金币(10金币=1RMB)
新东方根据应用的重要程度,将业务应用划分为【核心应用】、【重要应用】、【一般应用】三类注1:
(一)核心应用包括:
1.新东方主站及新东方APP
2.新东方云教室主站(*.roombox.xdf.cn)及新东方云教室APP
3.新东方游学主站(youxue.xdf.cn)及下属“新东方文旅”小程序
(二)重要应用包括:
除核心应用外,新东方集团及下属主要机构的站点或应用,主要包括:
1.新东方在线主站(*.koolearn.com)及下属相关APP
2.比邻东方主站(*.blingabc.com)及下属相关APP
3.新东方前途出国(*.liuxue.xdf.cn)
4.乐词(leci.com)及下属APP
5.新东方AI开发平台 (*.ai.xdf.cn)
6.少儿编程( code.xdf.cn)
7.斯芬克:(sfkedu.com)
8.大禹文化(dogwood.com.cn)
9.高考研究院:(xdfgk.cn)
10. *.staff.xdf.cn域名所关联的应用
(三)一般应用包括:
1.除集团核心业务、一般业务外的其他业务,包括但不限于集团下属分机构、学校等自行开发或采购的业务系统、小程序等。
(注1:暂不收取新东方旗下各个业务“无回显的SSRF漏洞”及各个业务的“CSRF漏洞”请白帽子关注其他业务系统安全。)
不同的安全漏洞和威胁情报信息,金币奖励不同,具体见表:
| 一般应用 | 5000-2500 | 2500-1500 | 1500-500 | 500-0 | 0 |
漏洞/情报严重性分级说明:
【严重】
安全漏洞:
1.直接获取核心系统权限的漏洞。包括但不仅限于利用命令执行、代码执行、植入Webshell、SQL注入、缓冲区溢出等各类可以远程获取系统权限的漏洞;
2.严重的敏感信息泄露。包括但不仅限于核心 DB(资金、订单、用户信息)的 SQL注入,可获取大量核心用户的身份信息、订单信息等接口问题引起的大批量敏感信息泄露。
3.直接导致业务系统拒绝服务的漏洞。包括但不仅限于利用漏洞或业务逻辑漏洞直接导致系统业务不可用;
4.核心业务的逻辑漏洞,能够大量获取利益造成集团、用户损失的漏洞,包括但不限于任意金额支付、批量修改任意帐号密码等漏洞。
安全情报:
1.可以证明的有新东方相关的核心业务、集团办公网络的入侵情报,核心产品的漏洞情报等;
2.与新东方业务相关的重大0Day漏洞情报;
3.与新东方相关的大量用户账户信息泄露或传播(可供验证的聊天记录、泄露信息用例等信息等)。
【高危】
安全漏洞
1.敏感信息泄露。包括但不限于遍历导致大量敏感数据泄露、数据库SQL注入、代码仓库源码泄露、硬编码等问题引起的敏感信息泄露。
2.获取系统权限漏洞。包括但不限于绕过认证访问管理后台以修改用户信息,或利用远程命令执行、任意代码执行,AK泄露等方式获取大量内网敏感信息,影响范围较大;
3.敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台以修改大量前台敏感信息,或利用后台弱密码获取大量内网敏感信息。
4.移动app或小程序漏洞。通过逆向分析等方式,破解app或小程序业务逻辑,绕过身份验证措施获取用户信息,影响范围较大;
5.越权提权操作。包括但不限于越权修改重要信息、修改订单金额并支付、重要业务配置修改等行为;
6.大范围影响用户的其他漏洞。包括但不限于可造成自动传播的重要页面的存储型XSS、影响用户订单交易的漏洞、影响用户密码、验签安全性的漏洞;
7.业务系统任意文件读取,删除,创建;
8.一般的逻辑设计缺陷和流程缺陷。包括但不限于通过业务接口批量发送任意消息(需要1分钟内大于30条的截图)、任意账号资金消费、批量修改任意帐号密码漏洞。
安全情报
1. 能够帮助完善产品提供新型攻击方式、技巧、绕过限制等。
2. 新东方用户相关敏感信息泄露
【中危】
安全漏洞
1.普通安全漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS(包括存储型DOM-XSS)(注:XSS盲打类需明确攻击触发点);
2.普通信息泄漏。包括但不仅限于客户端密码明文传输、web路径遍历、系统路径遍历、文件未授权访问、敏感信息的JSONP劫持、包含敏感信息的源代码泄露、前端绕过验证获取敏感信息等。
3.本地数据库注入(可造成信息泄漏或其他危害的);
4.普通的逻辑设计缺陷和流程缺陷,如短信验证码重放攻击、密码保护。(短信验证码,需有一分钟内30条以上的短信证明截图)。
安全情报
1.与新东方业务可关联的新型的攻击技术或方法。
2.产品运维问题。
【低危】
安全漏洞
1.轻微信息泄露。包括但不限于路径信息泄露、SVN信息泄露。
2.轻微影响的漏洞。包括但不限于难以利用的SQL注入、URL跳转漏洞等;
3.普通越权操作。包括但不限于遍历id获取其他id用户信息(不涉及用户敏感信息)
4.影响有限的设计缺陷和流程缺陷,或影响较大的客户端不安全配置;
5.频控缺陷漏洞,包括但不限于短信炸弹、用户账户密码暴力破解、系统弱口令。
6.需交互方可影响用户的漏洞,包括但不仅限于一般页面的存储型XSS、反射型 XSS.
7.网站代码备份
安全情报
1.针对新东方的威胁组织基础信息。(例如:包括但不限于威胁组织相关人员、架构、规模、地域、活动情况等信息、交流及销售渠道、使用的工具和平台、造成的相关影响、行业动态等);
2.低风险业务安全问题。如恶意注册,恶意群发邮件等;
3.针对新东方的APT攻击情报;
【无影响】
安全漏洞:
1.不涉及安全问题的BUG:包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题;
2.无法利用的漏洞:无法利用的漏洞。无敏感操作的 CSRF(收藏、取消收藏、添加购物车、一般的资料修改等)、无意义的源码泄露、内网 IP 地址/域名泄露、无敏感信息的越权访问、401 基础认证钓鱼。
3.轻微信息泄露。包括但不限于路径信息泄露、SVN信息泄露、.git文件泄露、Django Debug、服务端业务日志内容、PHPinfo信息泄露;
4.不能直接反映漏洞存在的问题,包括但不限于纯属用户猜测的问题。
5.非新东方业务漏洞;
6.与已收录漏洞相同的漏洞。
安全情报
1.无效情报(指错误、无意义或根据现有信息无法调查利用的威胁情报)。
审核通用原则:
1.标准评分仅适用于新东方相关产品和内外部系统,可威胁到新东方相关产品和业务相关的情报,与新东方无关的漏洞和情报不计贡献;
2.同一个漏洞源产生的多个漏洞计漏洞数量计为一。例如 PHPwind 的安全漏洞、同一个 JS 引起 的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域 名解析产生的多个安全漏洞等;
3.同类型同域名的多个漏洞最多确认3个;
4.各等级漏洞的最终新东方安全币数量由漏洞利用难度及影响范围 等综合因素决定,若漏洞触发条件非常苛刻,包括但不限于特定浏览器才可触发的XSS漏洞,则可跨等级调整贡献值数量。只有在特定非流行浏览器下(例如IE7以及以下版本浏览器),由浏览器本身缺陷导致的XSS ,不在收集范围内;需要关闭浏览器默认XSS防护才能触发的XSS,不在收集范围内;
5.由于某漏洞(如:弱口令)进入应用,利用业务系统固有功能所引发的的风险,将以最原始引发漏洞问题进行评估,但会视业务重要程度给予一定分数提升;
6.第三方组件漏洞:
a.第三方产品漏洞只给第一个提交者计算贡献,不同版本的同一处漏洞视为相同漏洞;
b.如果提交相关基础组件nday漏洞,提交的漏洞 已公开,时间在半年内且新东方集团已知晓该漏洞,则驳回;若新东方集团不知晓该漏洞,或者该漏洞已公开时间超过半年,集团仍未修复,会根据实际攻击演示效果来评估定级,需提供nday具体链接及CVE编号,并 且至少需提供了可利用证明(如poc能证明造成信息泄露、控制pc等);
c.如果提交相关基础组件0day漏洞,且提供了可利用证明(如poc能证明造成信息泄露、控制pc等)会根据实际攻击演示效果来评估定级;
7.同一漏洞或情报首位报告者计算奖励,其他报告者不计,由于情报的时效性,报告已知或已失效的情报不计分;
8.白帽子如果主动要求忽略漏洞重新提交,可能在下次提交前可能会有其他人提交该漏洞,需要白帽子自行承担重复风险;
9.应提供完整的漏洞信息,包括但不限于:发现漏洞途径或方法,漏洞接口的获取方式,完整的攻击请求等;对信息不完整的报告新东方SRC有权要求白帽子补充完整或者重新提交。对于再次过程中可能会有其他人提交该漏洞,需要白帽子自行承担重复风险;
10.在漏洞未修复之前,被公开的漏洞不计分,若泄露了漏洞细节,新东方SRC有权收回奖励,同时新东方将保留采取进一步法律行动的权利。
11.人为自行制造安全威胁或安全事件情报的不记分。
争议解决办法:
漏洞处理过程中,如果漏洞报告者对处理流程、评级评分具有异议的,请通过邮件发送至src@xdf.cn进行反馈,XDFSRC将根据漏洞报告者利益优先的原则进行处理。
