公告编号:作者:yuanfudao发布日期:2023/03/24
看云控股集团非常重视自身安全及产品安全,看云SRC承诺白帽子提交的每一个漏洞都会有专人进行漏洞审核评级,并对漏洞处理进行跟踪,同时会及时同白帽子反馈结果。
看云SRC希望白帽子第一时间发现安全问题后及时进行提交,帮助我们维护看云控股集团产品及业务安全,我们会针对漏洞给予相应的奖励。
看云SRC反对一切以漏洞测试为借口,利用安全漏洞进行破坏、损害看云控股集团业务系统及其用户利益的行为,此类行为包括:入侵业务系统、盗取用户数据、恶意传播漏洞等,如发现此类行为,看云控股集团将追究其法律责任。
请提交报告者严格遵守《SRC 行业安全测试规范》https://security.yuanfudao.com/index.php?m=&c=page&a=view&id=2
测试范围:看云控股集团旗下产品和业务,包括但不限于: *.zhenguanyu.com、*.yuanfudao.com、*.yuantiku.com、*.yuansouti.com、*.xiaoyuankousuan.com、*.banmaaike.com、*.ybccode.com、*.skypeople.com、*.gridcoffee.com、*.moliyuezi.com;服务器包括看云控股集团运营的服务器,产品包含看云控股集团发布的PC端、移动端、小程序等。
1.漏洞提交后1个工作日内,YSRC会进行漏洞评估,此时SRC平台状态为“审核中”。
2.漏洞提交后3个工作日内,YSRC工作人员会针对所提漏洞问题给出结论,给出漏洞评级及猿币数量,如漏洞不成立状态为“已忽略”,并工作人员会给出已忽略理由,如有疑问可与YSRC工作人员进行沟通。
3.提交的漏洞被确认,YSRC工作人员会在每月1号前把猿力币会进行下发,猿力币可用于兑换礼品,此时状态为:“已确认”。
4.修复漏洞,业务部门修复反馈的安全问题,并安排更新上线,修复时间根据问题的严重程度和难度而定,此时状态为“已修复”。
5.关闭漏洞,安全工程师验证业务部门上线的代码,并确认漏洞已修复。此时状态为“已完成”。
针对有效漏洞,我们会根据漏洞重要性及等级给出奖励,奖励的方式将采用猿币的方式进行。
1.漏洞奖励标准
重要业务:严重6000 高危3000 中危1500 低危200
一般业务:严重2000 高危1000 中危500 低危50
边缘业务:严重600 高危300 中危50 低危20
2.漏洞危害登记评分标准
【严重】漏洞
1) 直接获取系统权限漏洞包括但不限于:利用命令执行、代码执行、植入Webshell、SQL注入获取系统权限、缓冲区溢出等各类可以远程获取系统权限等;
2) 严重的业务逻辑缺陷和流程缺陷,可导致大量用户经济损失,订单及支付系统业务逻辑绕过,批量修改用户密码,任意账号登陆、任意账号资金消费的严重问题;
4) 严重的信息泄漏,可影响大量用户,可导致大量用户敏感信息泄露,公司内部核心数据泄露等;
5) 可直接导致核心系统拒绝服务攻击漏洞,该漏洞直接导致线上核心应用,系统,数据库等无法继续提供服务;
【高危】漏洞
1) 较大范围的信息泄漏,包括但不仅限于遍历导致大量敏感数据泄露、非核心DB SQL注入、源代码压缩包泄漏、硬编码密码等问题引起的敏感信息泄露;
2) 越权敏感操作,具有一定的影响面的越权漏洞,包括但不限于越权修改/删除重要信息,重要业务配置修改等重要越权行为;
3) 核心业务且较大范围影响用户的其他漏洞,包括但不限于可获取大量信息的XSS,自动传播的存储型 XSS,可获取管理员认证信息且成功利用的存储型 XSS 等;
;
【中危】漏洞
1) 需用户交互且在主流浏览器中才能产生影响的漏洞,包括但不仅限于针对重要系统 的普通存储型 XSS 等;
2) 普通越权操作,包括但不仅限于越权访问少量敏感信息等非敏感功能越权漏洞;
3) 普通信息泄露,包括但不限于:客户端明文存储密码、github涉及看云控股集团内部密码泄露等;
4) 普通的逻辑设计缺陷和流程缺陷导致的安全风险,不涉及资金、订单和用户敏感信息的普通逻辑设计缺陷和业务流程缺陷;
5) 对任意指定用户或手机号无限制的短信轰炸。
【低危】漏洞
1) 只在特定浏览器或客户端环境下才能执行,且影响较小的漏洞,包括但不限于反射 型 XSS、非关键业务的存储型 XSS 等;
2) 难以利用但又可能存在安全隐患的问题。包括但不限于难以利用的SQL注入,反射性XSS;
3) 无交互的URL跳转;
4) 轻微信息泄漏,包括但不限于含账户密钥的git 信息泄漏或服务端配置信息泄漏,以及客户端应用本地 SQL 注入(仅泄漏数据库名称、字段名、cache 内容)等
5) 有一定影响的CSRF;
【无影响】
1) 无关安全的 bug,包括但不限于网页乱码、网页无法打开、某功能无法用;
2) 无法利用的漏洞。包括但不限于不可利用的Self-XSS、无敏感操作的CSRF(如收藏、关注、点赞、非重要业务的普通个人资料修改等)、无敏感信息的JSON Hijacking、无意义的源码泄漏、内网IP地址/域名泄漏、401基础认证钓鱼、程序路径信任问题、横向短信轰炸、没有实际意义的扫描器漏洞报告(如Web Server的低版本)等。
3) 不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测、无法重现、未经验证的问题,以及无意义的扫描报告的问题(如:硬编码、无混淆、Activity组件劫持、未加固/脱壳反编译、Janus签名绕过等;
4) 运营预期之内或无法造成资金损失的问题,包括但不限于使用多个账号领取小额奖励/代金券等的正常业务活动;
5) 不能说明危害和利用手法或不可复现且无关紧要的“漏洞”;
6) 内部已知或正在处理的漏洞;
7) 无安全影响的本地拒绝服务、重打包等其它危害过低的移动端漏洞;
8) 与本公司无关的安全漏洞,包括但不限于过期dns解析未删除等;
【降级处理】
1) 影响范围比较小,比如某些系统只有几十个注册用户、旧系统只有少量数据、一些对业务无实际影响的运维监控数据、测试数据等;
2) 利用条件苛刻(如:特殊账号权限才能发现利用的漏洞等)或人力、时间成本与实际危害明显不匹配的漏洞(如长度 10 位以上且无规律的 ID 爆破);
3) 部分环节与其他漏洞重复的利用的漏洞;
【特殊说明】
同一漏洞源产生的多个漏洞按照一个漏洞收取。如同一个JS引起的多个安全漏洞、 同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域 名解析产生的多个安全漏洞等。如发现此类问题,请统一提交到一个漏洞报告中, 我们将适当升级或增加积分;
对于同一个接口,如果多个参数存在类似的漏洞,按一个漏洞收取,不同类型的, 按危害程度最大的计分;
不属于同一漏洞源,但属于同一系统,利用手段相似的多个漏洞;或具有利用顺序关系的多个漏洞等情况,例如:同一站点多个接口存在 SQL 注入,弱口令进入系统后发现越权等。鼓励将多个问题打包提交,我们将适当升级或增加积分。若 分多个报告提交,将适当升级或增加积分后合并收取。若合并时,原漏洞已有评分,将在原漏洞基础上进行评分修改,新漏洞忽略。打包/合并后积分最高为单个报告积分的三倍。
2) 弱口令相关漏洞收取:以弱口令账户存在的权限为准,按能够产生的实际危害评级;
3) 短信轰炸相关漏洞收取: 30条/单手机号/分钟;横向轰炸不收取;
4) XSS 漏洞收取说明:XSS 仅能执行代码,不能获取到 Cookie 或以用户身份进行操作, 评级不超过[中危];
5) 越权漏洞收取说明:组织内的越权漏洞、危害比较有限的越权漏洞,评级不超过[中危];
6) SSRF 漏洞收取说明:能通看云控股集团内部网络的 SSRF,有回显高危,无回显中危;因为各种原因不能访问内网,导致只能 SSRF 本机或同一网络下少量机器,且确实能够造成部分信息泄露的,评级不超过[中危];
重要业务:
猿辅导、斑马
一般业务:
小猿口算、猿题库、猿编程、南瓜科学、飞象星球、海豚、小猿搜题
边缘业务:
除以上外,猿辅导的其他产品和业务
第三方供应商提供的系统
重要业务和一般业务的产品中的非主营业务
1.奖励采取猿币(YFDSRC平台给予有效提交漏洞奖励的虚拟货币)商城兑换,除非特别声明,未使用猿币不会过期。
3.兑换礼品会根据兑换时间两周内寄出
在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过以下两种方式YSRC联系工作人员进行及时有效的沟通:
1.漏洞详情留言板功能。
2.邮箱:security@kanyun.com。
