猿辅导安全应急中心(YSRC)标准漏洞处理及评分标准V1.0

公告编号:作者:yuanfudao发布日期:2022/08/08

一. 基本原则


猿辅导非常重视自身安全及产品安全,猿辅导SRC承诺白帽子提交的每一个漏洞都会有专人进行漏洞审核评级,并对漏洞处理进行跟踪,同时会及时同白帽子反馈结果。

猿辅导SRC希望白帽子第一时间发现安全问题后及时进行提交,帮助我们维护猿辅导产品及业务安全,我们会针对漏洞给予相应的奖励。

猿辅导SRC反对一切以漏洞测试为借口,利用安全漏洞进行破坏、损害猿辅导业务系统及其用户利益的行为,此类行为包括:入侵业务系统、盗取用户数据、恶意传播漏洞等,如发现此类行为,猿辅导将追究其法律责任


二. 测试范围


测试范围:猿辅导旗下产品和业务,包括但不限于: *.zhenguanyu.com、*.yuanfudao.com、*.yuantiku.com、*.yuansouti.com、*.xiaoyuankousuan.com、*.banmaaike.com、*.ybccode.com、*.skypeople.com、*.gridcoffee.com、*.moliyuezi.com;服务器包括猿辅导运营的服务器,产品包含猿辅导发布的PC端、移动端、小程序等。


三.漏洞处理流程


1.漏洞提交后1个工作日内,YSRC会进行漏洞评估,此时SRC平台状态为“审核中”。

2.漏洞提交后3个工作日内,YSRC工作人员会针对所提漏洞问题给出结论,给出漏洞评级及猿币数量,如漏洞不成立状态为“已忽略”,并工作人员会给出已忽略理由,如有疑问可与YSRC工作人员进行沟通。

3.提交的漏洞被确认,YSRC工作人员会把猿力币会进行下发,猿力币可用于兑换礼品。

4.修复漏洞,业务部门修复反馈的安全问题,并安排更新上线,修复时间根据问题的严重程度和难度而定,此时状态为“修复中”。

5.关闭漏洞,安全工程师验证业务部门上线的代码,并确认漏洞已修复。此时状态为“已修复”。


四.漏洞评分标准及奖励标准


针对有效漏洞,我们会根据漏洞重要性及等级给出奖励,奖励的方式将采用猿币的方式进行。

1.漏洞奖励标准

重要业务:严重6000 高危3000 中危1500 低危200

一般业务:严重2000 高危1000 中危500 低危50

边缘业务:严重600 高危300 中危50 低危20


2.漏洞危害登记评分标准

【严重】漏洞

1) 直接获取基础架构系统权限包括但不限于:核心业务操作系统、核心业务数据库、 防火墙等;

2) 直接获取 web 服务器权限,包括但不限于:远程命令执行、上传并执行 webshell、 缓冲区域溢出等;

3) 严重的业务逻辑缺陷,可导致:大量用户经济损失,订单及支付系统业务逻辑绕过 等;

4) 严重的程序设计缺陷,可导致:大量用户敏感信息泄露,公司内部核心数据泄露等;

5) 可直接导致核心系统瘫痪的拒绝服务攻击漏洞;


【高危】漏洞

1) 越权访问重要应用系统,包括但不仅限于绕过认证直接访问管理后台,后台系统密 码泄露等;

2) 影响一定范围用户账号或资金安全,包括但不限于:非核心 DBSQL 注入,可造成自 动传播的存储型 XSS,涉及交易、资金、密码的 CSRF,可导致用户账号安全的应用 系统漏洞或业务逻辑缺陷等;

3) 重要业务系统源代码、密钥或未鉴权的 API 的泄露;

4) 公司内部重要数据泄露;


【中危】漏洞

1) 需用户交互且在主流浏览器中才能产生影响的漏洞,包括但不仅限于针对重要系统 的普通存储型 XSS 等;

2) 普通越权操作,包括但不仅限于不正确的直接对象引用,身份数据篡改等;

3) 少量的用户敏感信息泄露,包括但不限于:客户端明文存储密码、个别用户订单或 身份信息泄露等;

4) 不涉及资金、订单和用户敏感信息的普通逻辑设计缺陷和业务流程缺陷;

5) 可导致资源滥用或造成对用户骚扰的漏洞,包括但不限于:短信炸弹、邮件炸弹等;

6) 一定量的非重要系统的普通代码泄露;


【低危】漏洞

1) 只在特定浏览器或客户端环境下才能执行,且影响较小的漏洞,包括但不限于反射 型 XSS、非关键业务的存储型 XSS 等;

2) 难以利用但又可能存在安全隐患的问题。包括但不限于可能引起传播和利用的 Self-XSS、非重要敏感操作的 CSRF、短信炸弹、未猜解到用户口令的暴力破解、 JSONP 漏洞;

3) 越权操作非重要数据,比如越权查看别人的课程计划;

4) 低敏感度信息泄漏,包括但不限于路径泄漏、非核心代码 SVN 文件泄漏、phpinfo 以及 内部 IP、系统名称等;

5) 根据设备、系统、软件或框架的官方告警正在修复的漏洞;


【无影响】

1) 无关安全的 bug,包括但不限于网页乱码、网页无法打开、某功能无法用;

2) 无法利用的漏洞,包括但不限于难以利用的 SELF-XSS、非敏感操作的 CSRF、无敏 感信息的 JSON HIJACKING、无意义的源码泄露、内网 IP 地址或域名泄露、后台信 息泄漏、TFS 信息泄露、网站路径泄露等等;无任何证据的猜测;

3) 不能重现的漏洞,包括但不仅限于漏洞审核工作人员确认无法重现的漏洞;

4) 根据设备、系统、软件或框架的官方告警已经修复的漏洞;

5) 无安全影响的本地拒绝服务、重打包等其它危害过低的移动端漏洞;

6) 与本公司无关的安全漏洞;


业务类型划分

重要业务:

    猿辅导、斑马

一般业务:

    除重要业务外其他业务系统

边缘业务:

    第三方供应商提供的系统


五.奖励方法原则


1.奖励采取猿币(YFDSRC平台给予有效提交漏洞奖励的虚拟货币)商城兑换,除非特别声明,未使用猿币不会过期。

2.兑换礼品会根据兑换时间两周内寄出。


六.争议解决方法


在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过以下两种方式YSRC联系工作人员进行及时有效的沟通:

1.漏洞详情留言板功能。

2.邮箱:security@yuanfudao.com