公告编号:XDFSRC20221104作者:XDFSRC发布日期:2023/09/15
新东方安全应急响应中心(XDFSRC),作为新东方与白帽子之间的交流平台,非常欢迎广大白帽子向我们反馈新东方相关的业务安全漏洞及威胁情报,以帮助我们不断地提升和完善新东方相关业务系统自身的安全性,共建安全健康的互联网环境。
实施日期
本规范自发布之日起实行
基本原则
新东方SRC对每一位报告者反馈的问题都有专人进行跟进和跟踪,并及时反馈结果。同时,禁止在未获得新东方授权的情况下向第三方披露或传播漏洞信息。
新东方SRC在跟进报告者反馈的问题时可能需要报告者的帮助,为了有效的跟进问题可能需要报告者协助一同复现问题,新东方SRC反对和谴责一切遮掩漏洞细节或抗拒协助的报告行为。 对于提交高质量报告并在报告、反馈和积极响应跟进等过程中提供有效帮助的报告者, 新东方也会酌情给予相应的奖励。
新东方SRC反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害新东方相关系统及用户利益的黑客行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、 恶意传播漏洞等,我们保留追究法律责任的权利。
漏洞奖励机制
新东方采用漏洞金币/积分作为漏洞奖励,按资产的重要性及漏洞的影响来计算每个漏洞的金币(10金币=1RMB):
核心应用:集团统一管理的涉及账号、支付、个人信息、课程内容、订单信息、合同信息等核心应用。
一般应用:除核心应用外的所有应用,包括新东方分子机构及学校管理的应用。
不同的安全漏洞和威胁情报信息,金币奖励不同,具体见表:
| 严重 | 高危 | 中危 | 低危 | 无危害 | |
| 核心应用 | 8000-10000 | 5000-8000 | 200-5000 | 50-200 | 0 |
| 非核心应用 | 5000-8000 | 2500-5000 | 100-2500 | 10-100 | 0 |
漏洞/情报严重性分级说明
【严重】
安全漏洞
1.直接获取系统权限的漏洞。包括但不仅限于利用命令执行、代码执行、植入Webshell、SQL注入获取系统权限、缓冲区溢出等各类可以获取系统权限的漏洞。
2.直接导致业务系统拒绝服务的漏洞。包括但不仅限于利用漏洞或业务逻辑漏洞直接导致系统业务不可用。
3.严重的敏感信息泄漏。包括但不仅限于核心 DB(资金、订单、用户身份) 的 SQL 注入,可获取大量核心用户的身份信息、订单信息等接口问题引起的大批量敏感信息泄露。
4.严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。
安全情报
1.对于核心业务、办公网络的入侵情报,核心产品的漏洞情报等。
2.与新东方业务相关的重大0Day漏洞情报。
3.最新的与新东方相关用户账户信息泄露
【高危】
安全漏洞
1.敏感信息泄漏。包括但不仅限于遍历导致大量敏感数据泄露、非核心数据库的SQL注入、源代码压缩包泄漏、硬编码密码等问题引起的敏感信息泄露。
2.敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台以达到修改大量前台信息的权限的目的,或利用后台弱密码获取大量内网敏感信息。
3.直接获取移动客户端权限。包括但不仅限于远程命令执行、任意代码执行。
4.越权敏感操作。包括但不仅限于账号越权修改重要信息、修改订单金额、重要业务配置修改等较为重要的越权行为。
5.大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS(包括存储型DOM-XSS)和涉及交易、资金、密码。
6.任意文件读取,删除,创建。
安全情报
1.能够帮助完善产品提供新型攻击方式、技巧、绕过限制等。
2.用户相关敏感信息泄露
【中危】
安全漏洞
1.需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS、反射型 XSS(仅限 DOM-XSS)、重要操作CSRF。
2.普通越权操作。包括但不仅限于不正确的直接对象引用。影响业务运行的Broadcast消息伪造等Android组件权限漏洞等。
3.普通信息泄漏。包括但不仅限于客户端明文存储密码、客户端密码明文传输以及web路径遍历、系统路径遍历。
4.普通的逻辑设计缺陷和流程缺陷,如短信验证码重放攻击。(需有超过30条以上的短信证明截图)。
安全情报
1.与新东方业务可关联的新型的攻击技术或方法。
2.产品运维问题。
【低危】
安全漏洞
1.反射型XSS
2.轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN信息泄漏、PHPinfo、异常信息泄露,以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息、异常信息等。
3.难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、可引起传播和利用的Self-XSS、需构造部分参数且有一定影响的CSRF、URL跳转漏洞,有一定影响的爆破,验证码失效绕过等。
4.影响有限的设计缺陷和流程缺陷。
安全情报
1.威胁组织基础信息。
例如:包括但不限于威胁组织相关人员、架构、规模、地域、活动情况等信息、交流及销售渠道、使用的工具和平台、造成的相关影响、行业动态等;
2.低风险业务安全问题。如恶意注册,恶意群发邮件等;
3.针对新东方的APT攻击情报;
4.舆情舆论。
【无危害】
安全漏洞
1.不涉及安全问题的BUG。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。
2.无法利用的漏洞。Self型XSS、无敏感操作的CSRF、无意义的异常信息泄露、内网IP地址/域名泄露、无敏感信息越权访问、401基础认证钓鱼。
3.不能直接反映漏洞存在的问题。包括但不限于纯属用户猜测的问题。
4.非新东方业务漏洞。
安全情报
1.无效情报是指错误、无意义或根据现有信息无法调查利用的威胁情报
审核通用原则
1.标准评分仅适用于新东方相关产品和对内对外业务系统、可威胁到新东方相关产品和业务相关的情报。与新东方无关的漏洞和情报不计贡献;
2.第三方产品漏洞只给第一个提交者计算贡献,不同版本的同一处漏洞视为相同漏洞;
3.一个漏洞源导致的多个漏洞算一个漏洞;
4.各等级漏洞的奖励由利用难度以及影响范围等因素综合评定,若触发条件苛刻,包括但不限于特定浏览器才能触发的xss漏洞,可进行降级处理;
5.同一漏洞或情报首位报告者计算奖励,其他报告者不计,由于情报的时效性,报告已知或已失效的情报不计分;
6.已公开的漏洞或情报不记贡献;由一个漏洞产生的内部大规模排查解决过程中提交的相关漏洞,评分减半。存在刷洞嫌疑的不进行奖励;
7.人为自行制造安全威胁或安全事件情报的不计分,涉及到新东方的所有漏洞和情报在新东方主动公开前公开,给除新东方授权的任何人,均不计分,同时新东方将保留采取进一步法律行动的权利;
8.白帽子如果主动要求忽略漏洞重新提交,可能在下次提交前会有其他人提交该漏洞,需要自行承担重复风险;
9.若漏洞同源或重复,审核人员会统一在漏洞评论处给出编号,方便对相似漏洞进行溯源、归类;
禁止行为
1.禁止在未获得新东方授权的情况下向第三方披露或传播漏洞信息。
2.禁止使用扫描器、自动化工具,禁止破坏性测试,禁止影响业务的正常运行。
3.禁止以验证漏洞的名义获取超过10条以上数据。
如发现违规行为,我们将取消漏洞奖励,并采取必要的法律措施。
争议解决办法
漏洞处理过程中,如果漏洞报告者对处理流程、评级评分具有异议的,请通过邮件发送至security@xdf.cn进行反馈,XDFSRC将根据漏洞报告者利益优先的原则进行处理。
