新东方安全应急响应中心(XDFSRC),作为新东方与白帽子之间的交流平台,欢迎广大白帽子向我们反馈新东方相关业务的安全漏洞及威胁情报。
感谢白帽子帮助我们不断地提升和完善新东方相关业务系统的安全性,共建安全健康的互联网环境。
为了进一步完善和优化漏洞评判标准减少争议,我们对新东方SRC漏洞收集范围及标准进行了更新。
实施日期:
本规范自发布之日起施行。
基本原则:
1.新东方SRC对每一位报告者反馈的问题,都有专人进行跟进并及时反馈结果。同时,禁止在未获得新东方授权的情况下向第三方披露或传播漏洞信息。
2.新东方SRC在跟进报告者反馈的问题时,可能需要报告者协助一同复现问题,或需要报告者补充提交漏洞资料。
3.新东方SRC反对和谴责一切遮掩漏洞细节或抗拒协助的报告行为。对于提交高质量报告并在报告、反馈和跟进过程中提供有效帮助的报告者, 新东方将酌情给予积分及安全币的奖励。
4.新东方SRC反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害新东方相关系统及用户利益的非法行为,包括但不限于利用漏洞盗取用户隐私信息及虚拟财产、入侵业务系统、窃取用户数据、 恶意传播漏洞等,我们保留追究法律责任的权利。
禁止行为:
1. 禁止在未获得新东方授权的情况下向第三方披露或传播漏洞信息。
2. 禁止使用扫描器、自动化工具,禁止破坏性测试,禁止影响业务的正常运行。
3. 禁止下载、保存、传播和业务相关的敏感数据,包括但不限于服务器以及Git等平台泄露的源码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除。
4. 禁止以验证漏洞的名义获取超过10条以上用户数据。
如发现违规行为,我们将取消漏洞奖励,并采取必要的法律措施。
漏洞奖励机制:
新东方采用漏洞金币/积分作为漏洞奖励,按漏洞奖励按应用资产的重要性及漏洞的影响来计算每个漏洞的金币(10金币=1RMB)
金币可用于兑换不同面值的京东卡等奖品,兑换面值最低为100元。奖励兑换通道每季度开放一次,届时会在SRC微信群及SRC网站进行公告。
新东方根据应用的重要程度,将业务应用划分为【核心应用】、【重要应用】、【一般应用】三类注1:
(一)核心应用包括:
1.新东方主站(www.xdf.cn)及新东方APP
2.新东方云教室主站(*.roombox.xdf.cn)及新东方云教室APP
3.新东方集团用户A2/ E2系统
(二)重要应用包括:
除核心应用外,新东方集团及下属主要机构的站点或应用,主要包括:
1. 新东方游学主站(youxue.xdf.cn)及下属“新东方文旅”小程序
2.新东方在线主站(*.koolearn.com)及下属相关APP
3.比邻东方主站(*.blingabc.com)及下属相关APP
4.新东方前途出国(*.liuxue.xdf.cn)
5.新东方AI开发平台 (*.ai.xdf.cn)
6.少儿编程( code.xdf.cn)
7.斯芬克:(sfkedu.com)
8.大愚文化(dogwood.com.cn)
9.高考研究院:(xdfgk.cn)
10. *.staff.xdf.cn域名所关联的应用
11. 91系统 (91.xdf.cn)
(三)一般应用包括:
除集团核心业务、一般业务外的其他业务,包括但不限于集团下属分机构、学校等自行开发或采购的业务系统、小程序等。
不同的安全漏洞和威胁情报信息,金币奖励不同,具体见表:
严重 | 高危 | 中危 | 低危 | 无影响 | |
核心应用 | 10000-5000 | 5000-3000 | 3000-1000 | 1000-200 | 0 |
重要应用 | 8000-4000 | 4000-2500 | 2500-800 | 800-100 | 0 |
一般应用 | 5000-2500 | 2500-1500 | 1500-500 | 500-0 | 0 |
漏洞/情报严重性分级说明:
【严重】
安全漏洞:
1.直接获取核心系统权限的漏洞:包括但不仅限于利用远程命令执行、任意代码执行、植入Webshell、SQL注入获取可执行权限、缓冲区溢出、获取集群权限、获取服务级别关键凭证(AKSK/密钥/证书等)各类可以远程获取系统权限的漏洞;
2.严重的敏感信息泄露:包括但不仅限于核心 DB(资金、订单、用户信息)的 SQL注入,可批量获得大量真实用户的三元组身份信息、订单信息等,多种漏洞综合利用引起的大批量敏感信息泄露;
3.远程系统级永久性拒绝服务攻击,导致核心系统拒绝服务的漏洞:包括但不仅限于利用漏洞或业务逻辑缺陷直接导致系统业务不可用;
4.核心业务的逻辑漏洞,能够大量获取经济利益,造成集团、用户损失的漏洞,包括但不限于他人账户金额支付、批量修改任意帐号密码等漏洞;
5.通过漏洞利用、信息泄露等手段获取一个或多个重要、核心业务系统的服务器管理员root权限的。
安全情报:
1.可以证明与新东方相关的核心业务、新东方网络相关入侵情报,核心产品的漏洞情报等;
2.与新东方业务相关的重大0Day漏洞情报;
3.与新东方相关的大量用户账户信息泄露或传播(可供验证的聊天记录、泄露信息用例等信息等);
4.针对新东方的APT攻击情报。
【高危】
安全漏洞
1.敏感信息泄露漏洞:包括但不限于由大量真实用户三元组信息遍历、数据库SQL注入、代码仓库源码泄露、硬编码等问题引起的敏感信息泄露;
2.获取系统权限漏洞:包括但不限于绕过认证访问管理后台批量修改或获取用户权限,利用远程命令执行、任意代码执行,AKSK/密钥/证书等泄露等方式获取系统权限,且影响范围较大;
3.敏感信息泄露以及修改重要信息:包括但不仅限于绕过相关业务系统认证,管理员弱口令导致大量敏感信息泄露,回显信息的SSRF,批量修改或获取真实用户敏感信息漏洞,以越权方式获取大量内网敏感信息、越权修改重要敏感信息、修改订单金额并支付成功、重要业务配置修改的漏洞;
4.移动app或小程序漏洞:通过逆向分析等方式,破解app或小程序业务逻辑,绕过身份验证措施获取真实用户信息,影响范围较大;
5.越权提权操作:包括但不限于大范围影响用户的其他漏洞。包括但不限于可造成自动传播的重要页面的存储型XSS、影响用户订单交易的漏洞、影响用户密码、验签安全性的漏洞;
6.业务系统任意文件读取,删除,创建;
7.重要的逻辑设计缺陷和流程缺陷:包括但不限于通过业务接口批量发送任意消息/短信(需要1分钟内大于30条的截图)、任意账号资金消费、批量修改任意帐号密码、绕过业务逻辑下载观看收费课程视频;
8.通过漏洞、信息泄露等手段获取单个核心、重要、一般业务系统的服务器管理员权限,或多个服务器普通用户(非root)权限的;
9.客户端大量敏感信息泄露的漏洞,包括但不限于远程获取大量敏感信息、本地越权任意代码执行。设备端/硬件安全机制绕过,绕过安全启动等;
10.未授权访问大模型存储库、输入轮询模型API输出创建影子模型等方式窃取关键训练参数等核心敏感数据;通过训练数据集脏数据污染、篡改训练代码、控制训练环境等方式,在特定场景下会触发攻击者预先植入的恶意行为等。
安全情报
1. 能够帮助完善产品提供新型攻击方式、技巧、绕过限制等;
2. 新东方用户相关敏感信息泄露;
3. 针对新东方的APT攻击情报。
【中危】
安全漏洞
1.普通安全漏洞。包括但不限于无敏感数据的未授权访问、越权修改非敏感数据、可造成自动传播的重要页面的存储型XSS(包括存储型DOM-XSS)多个弱口令或高权限账户弱口令(注:XSS盲打类需明确攻击触发点);
2.普通信息泄露。包括但不仅限于、web路径遍历、系统路径遍历、文件未授权访问、敏感信息的JSONP劫持、包含敏感信息的源代码泄露、前端绕过验证获取敏感信息、无重要信息回显的SSRF、验证码缺陷等;
3.非核心业务系统的数据库SQL注入、利用条件苛刻的少量敏感数据泄露、无敏感数据泄露的SQL注入;
4.本地数据库注入(可造成信息泄露或其他危害的);
5.普通的逻辑设计缺陷和流程缺陷,如无限免费使用/极低价获取大量核心课程资源、低成本获取奖励并套现,短信验证码重放攻击、密码保护。(短信验证码,需有一分钟内30条以上的短信证明截图);
6.任意文件读取、文件上传、文件覆盖、文件包含操作部分文件且无法进一步利用的;
7.通过漏洞、信息泄露等手段获取单个业务系统的服务器普通用户(非root)权限的;
8.大模型相关问题:构造提示词注入包括诱导、并发、伪造、劫持等各类方式造成数据泄露、拒绝服务、语义转换等方式进行绕过防御的漏洞;
9.客户端配置不当导致本地少量信息泄露,包括但不限于绕过白名单启动、越权调用系统其他服务、越过验证访问敏感功能、客户端远程拒绝服务、客户端硬编码问题等;
10.通过大模型供应链攻击,包括对模型的基础组件、官方插件、训练数据集等进行提权、篡改、伪造等方式,造成危害的漏洞。
安全情报
1.与新东方业务可关联的新型的攻击技术或方法;
2.产品运维问题情报;
3.针对新东方的APT攻击情报。
【低危】
安全漏洞
1.轻微信息泄露。包括但不限于路径信息泄露、SVN信息泄露、.git文件泄露、存在重要信息的非开源webpack代码泄露、少量课程/考试资料泄露、低权限账号弱口令;
2.轻微影响的漏洞。包括但不限于难以利用的SQL注入、报错少量信息泄露的SQL注入、任意URL跳转、存在利用局限的敏感信息JSONP劫持等;
3.普通越权操作。包括但不限于非业务核心功能或非重要敏感信息的增删改查等越权操作;(不涉及用户敏感信息)
4.影响较小的设计缺陷、流程缺陷、设计逻辑问题、文件上传,利用成本高、影响范围小的情况,例如:不能转卖或变现的资源、仅攻击者个人账户获取资源收益、新客户优惠等实际业务损失有限的漏洞;
5.频控缺陷漏洞,包括但不限于短信炸弹、用户账户密码暴力破解、系统弱口令;
6.需交互方可影响用户的漏洞,包括但不仅限于一般页面的存储型XSS、反射型 XSS、dom型XSS;
7.不含重要信息的网站代码备份文件泄露;
8.客户端配置不当导致敏感数据泄露、例如:日志调试或学习机debug导致用户敏感信息泄露,客户端本地拒绝服务、跨应用组件权限暴漏(如Android组件权限管理缺陷)等;
9.大模型应用对缺乏调用速率或Token长度限制消耗系统的计算资源,通过大模型提示和响应内容相关的问题能够对系统造成危害和信息泄露影响的。
安全情报
1.针对新东方的威胁组织基础信息。(例如:包括但不限于威胁组织相关人员、架构、规模、地域、活动情况等信息、交流及销售渠道、使用的工具和平台、造成的相关影响、行业动态等);
2.低风险业务安全问题。如恶意注册,恶意群发邮件等;
3.针对新东方的APT攻击情报。
【无影响】
安全漏洞:
1.不涉及安全问题的BUG:包括但不仅限于产品功能缺陷、网页乱码、样式混乱、无有效信息的webpack代码泄露、静态文件目录遍历、应用兼容性等问题;
2.无法利用的漏洞:无法对系统造成危害的漏洞、无敏感操作的 CSRF(收藏、取消收藏、添加购物车、一般的资料修改等)、无意义的源码泄露、无价值的SQL报错、内网 IP 地址/域名泄露、无敏感信息的越权访问、401 基础认证钓鱼、未配置SPF策略的邮箱伪造;
3.轻微信息泄露:包括但不限于路径信息泄露、Django Debug、不含重要信息的服务端业务日志内容、PHPinfo信息泄露、密码明文传输、不含重要信息的网站代码文件泄露;
4.不能直接反映漏洞存在的问题,包括但不限于纯属用户猜测的问题;
5.内部已知漏洞,包括但不限于通用平台已在网络上公开的漏洞、内部安全人员已经发现的漏洞、与其他白帽子提交已收录漏洞相同的漏洞;
6.xdf相关域名解析到非新东方业务系统的漏洞;
7.非新东方业务系统的漏洞;
8.提交的报告书写内容与实际不符,无法根据报告内容复现,包括但不限于和漏洞审核员反复沟通均无法复现的漏洞;
9.非信息安全漏洞导致的内容安全风险,与大模型提示和响应内容相关的问题,对系统不造成额外的、可直接验证的安全影响的,暂不收取。例如:模型提示越狱/安全绕过(如 DAN 等相关提示词)、引导大模型输出恶意内容(如违规营销信息、恶意代码等),触发模型幻觉,让大模型假装成计算机终端并执行命令等;
10.暂不收取新东方旗下各个业务“无回显的SSRF漏洞”及“CSRF漏洞”、暂不收取东方甄选相关漏洞、满天星相关漏洞、天利相关漏洞、少儿编程编辑器沙箱环境的代码执行漏洞,请白帽子关注其他业务系统安全。
安全情报
1.无效情报(指错误、无意义或根据现有信息无法调查利用的威胁情报)。
审核通用原则:
1.标准评分仅适用于新东方相关产品和内外部系统,可威胁到新东方相关产品和业务相关的情报,与新东方无关的漏洞和情报不计贡献;
2.同一个漏洞源产生的多个漏洞按一个漏洞计算。例如 PHPwind 的安全漏洞、同一个 JS 引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个安全漏洞,但会视业务重要程度和影响范围给予一定分数提升;
3.同一个业务系统在多个域名/接口中存在完全相同的问题,例如:替换id越权修改他人信息。按照相同类型计算,收取第1个提交该漏洞的报告;
4.各等级漏洞的最终新东方安全币数量由漏洞利用难度及影响范围等综合因素决定,若漏洞触发条件非常苛刻,包括但不限于特定浏览器才可触发的XSS漏洞,则可跨等级调整贡献值数量。只有在特定非流行浏览器下(例如IE7以及以下版本浏览器),由浏览器本身缺陷导致的XSS ,不在收集范围内;需要关闭浏览器默认XSS防护才能触发的XSS,不在收集范围内;
5.由于某漏洞(如:弱口令)进入应用,利用业务系统固有功能所引发的的风险,按原始引发漏洞等级进行评估,但会视业务重要程度和影响范围给予一定分数提升;
6.第三方组件漏洞:
a.第三方产品漏洞只给第一个提交者计算贡献,不同版本的同一处漏洞视为相同漏洞;
b.如果提交相关基础组件nday漏洞,提交的漏洞已公开,时间在半年内且新东方集团已检测出该漏洞,则驳回;若新东方集团未检测出该漏洞,或者该漏洞已公开时间超过半年,系统仍未修复,会根据实际攻击演示效果来评估定级,需提供nday具体链接及CVE编号,并且需提供可利用证明(如poc能证明造成信息泄露、控制pc等);
c.如果提交相关基础组件0day漏洞,且提供了可利用证明(如poc能证明造成信息泄露、控制pc等)会根据实际攻击演示效果来评估定级;
7.同一漏洞或情报首位报告者计算奖励,其他报告者不计,由于情报的时效性,报告已知或已失效的情报不计分;
8.白帽子如主动要求忽略漏洞重新提交,存在下次提交前会有其他人提交该漏洞的可能,需白帽子自行承担重新提交漏洞的风险;
9.白帽子所提交的漏洞报告应尽量详尽,其内容应包括但不限于:漏洞的发现路径或方法、漏洞接口的获取方式、完整的攻击请求等。若报告信息不完整,新东方SRC有权要求白帽子进行补充或重新提交。在此过程中若有其他白帽子提交相同漏洞,如其所提交的报告质量更高,新东方SRC可能会优先奖励后者;
10.在漏洞未修复之前,被公开的漏洞不计分,若白帽子泄露了漏洞细节,新东方SRC有权收回奖励,同时将保留采取进一步法律行动的权利;
11.人为自行制造安全威胁或安全事件情报的不记分。
争议解决办法:
漏洞处理过程中,如果漏洞报告者对处理流程、评级评分具有异议的,请通过邮件发送至src@xdf.cn或SRC微信群进行反馈,XDFSRC将根据漏洞报告者利益优先的原则进行处理。
