各位白帽专家好,
首先感谢各位白帽专家一直以来对新东方安全应急响应中心的信任和关注,为新东方集团在信息安全方面的进一步完善提供了巨大的帮助。
不过,我们在近期漏洞收集工作中,发现有一位白帽在渗透过程中存在违规行为,对新东方业务造成严重影响。
现通报一起白帽专家严重违规事件:
白帽子X***在进行漏洞测试时,未按照《新东方SRC漏洞收集范围及评级标准V3.0》的相关规定进行漏洞挖掘和验证,导致业务稳定性受到严重影响。根据《新东方SRC漏洞收集范围及评级标准V3.0》的规定,取消该白帽本次所提交漏洞的全部奖励,并对白帽子X***提出严重警告。望广大白帽专家重视测试尺度,合理测试。
安全渗透,挖洞有度。XDFSRC向各位师傅重申白帽子漏洞挖掘规范,请各位白帽师傅们严格遵守渗透规范,避免类似的违规事件。
(1)威胁报告禁止保存在互联网开放的云服务中(包括但不限于云盘、云笔记等),因漏洞报告内容保存于云服务导致的漏洞泄露风险一经确认,当前报告不计分;
(2)威胁报告提交后在未修复前,主动公开的报告不计分;
(3)报告者在进行渗透测试时,如在线上对业务做增删改操作时,请勿直接对正常用户数据做操作,数据添加请在标题或明显字段增加【安全测试】字样,以便于XDFSRC和业务方识别数据真实性;
(4)注入漏洞,只要证明可以读取数据就行,严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。
(5)越权漏洞,越权读取的时候,能读取到的真实数据不超过5组,严禁进行批量读取。帐号可注册的情况下,只允许用自己的2个帐号验证漏洞效果,不要涉及线上正常用户的帐号,越权增删改,请使用自己测试帐号进行。
(6)帐号不可注册的情况下,如果获取到该系统的账密并验证成功,如需进一步安全测试,请咨询管理员得到同意后进行测试。
(7)存储xss漏洞,正确的方法是插入不影响他人的测试payload,严禁弹窗,推荐使用console.log,再通过自己的另一个帐号进行验证,提供截图证明。对于盲打类xss,仅允许外带domain信息。所有xss测试,测试之后需删除插入数据,如不能删除,请在漏洞报告中备注插入点。
(8)SQL注入测试过程中,证明危害即可,获取十条以上数据者追究更加数据情况做出相应处理(取消奖励同时新东方保留采取进一步法律行动的权利)。禁止使用延时函数,而对业务造成影响
(9)除特别获准的情况下,严禁与漏洞无关的社工,严禁进行内网渗透。
(10)禁止进行可能引起业务异常运行的测试,例如:IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。
(11)禁止拖库、随意批量增删改他人信息,禁止可对服务稳定性造成影响的扫描、使用漏洞进行黑灰产行为等恶意行为。
(12)敏感信息的泄露会对用户、厂商及上报者都产生较大风险,禁止保存和传播和业务相关的敏感数据,包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除。
(13)遵守《中华人民共和国网络安全法》的相关规定。禁止一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的行为,包括但不限于威胁、恐吓SRC要公开漏洞或数据,请不要在任何情况下泄露漏洞测试过程中所获知的任何信息,漏洞信息对第三方披露请先联系SRC获得授权。新东方将对违法违规者保留采取进一步法律行动的权利。
SRC违规处置流程:
对于初次违规且影响较小的,给予警告;
对于二次违规或影响较大的,给予警告并扣除漏洞对应的所有奖励,公司将对违规违法者保留采取进一步法律行动的权利。
对于三次违规或情节恶劣的,扣除漏洞对应的所有奖励,永久封禁帐号,全网通报,联合公安机关进行调查取证处罚。
新东方广大用户的信息安全离不开白帽专家的共同守护,最后再次感谢白帽专家们在帮助提升系统和业务的安全性方面做出的不懈努力和贡献。
新东方SRC成立的初衷是与广大白帽一起为企业带来安全的增强,若违规测试导致业务稳定性和信息安全风险,反而会对企业安全造成伤害。此类行为若超过一定的界限,将会直面法律风险,造成SRC无法控制的后果。
