TJSRC 安全漏洞奖励新标准
同程数科非常重视自身产品和业务的安全,为了保障用户权益,我们发布了最新的TJSRC漏洞奖励标准,通过和安全社区及白帽子安全专家的共同合作,来帮助我们不断提升和完善自身产品及业务的安全性。
奖励计划范围
同程数科独立运营的业务系统,包括在如下域名中的内容(不包含同程艺龙旅游平台下业务):
TJSRC 最新业务资产列表 — 定期更新
如果您发现的漏洞不在本奖励计划范围内,我们将不会支付奖励,但仍会按照TJSRC漏洞处理流程进行处理,并希望您继续与我们合作进行负责任的漏洞披露。
漏洞影响定级和奖励金额
根据漏洞危害程度分为严重、高、中、低、四个等级,经过评估确认后的漏洞,每个漏洞级别以及奖励金额如下:
| 漏洞级别 | 漏洞影响样例 | 奖励金额范围(人民币) |
| 严重 | 1.导致获取核心业务系统权限,包括但不限于远程命令执行、任意代码执行、上传获取Webshell、SQL注入获取系统权限、缓冲区溢出等; 2.虚拟机逃逸获取宿主机的权限; 3.设计缺陷导致未经授权的跨用户数据篡改和访问; 4.漏洞的组合、弱口令等方式,导致渗透进入内网并获取核心业务控制权限; 5.严重敏感信息泄露或重要DB的SQL注入导致严重信息泄露(大量机密信息泄露如密码、私钥、个人隐私信息泄露等); 6.严重的逻辑设计缺陷或流程缺陷,导致关键业务的篡改。(支付金额篡改指的是成功支付篡改后的订单并生效)。 | ¥3,000~¥5,000 |
| 高 | 1.越权敏感操作,导致未经授权的修改用户关键业务、重要信息、关键业务的配置信息、以及大量用户信息泄露等; 2.关键页面的CSRF、存储型XSS可导致影响大量用户的漏洞等; 3. 未经授权的系统文件访问漏洞等; 4.严重业务逻辑缺陷导致身份认证绕过; 5.设计缺陷导致内部服务越权访问,如SSRF; 6.账号被劫持导致漏洞等; 7.直接导致业务拒绝服务的漏洞。包括但不仅限于网站应用拒绝服务等造成严重影响的远程拒绝服务漏洞。 | ¥1,000~¥3,000 |
| 中 | 1.需要用户交互导致获取用户敏感信息(反射型XSS、反射型 DOM-XSS、一般页面的存储型XSS)等; 2.一般信息泄露如用户订单、交易信息等导致漏洞; 3.如:Session固定、Session可预测等身份仿冒导致漏洞; 4.目录遍历等导致普通信息泄露; 5.由于账号管理不当,造成非核心业务(包括但不限于测试业务等)的滥用、篡改等。 6.普通越权操作,非关键业务篡改,影响有限,包括不限于仿冒管理员身份发布虚假消息等; 7.普通的逻辑设计缺陷和流程缺陷导致漏洞等,如短信验证码重放攻击。(需有超过30条以上的短信证明截图) | ¥300~¥1000 |
| 低 | 1.影响有限的设计缺陷和流程缺陷等; 2.账号批量枚举导致漏洞; 3.系统验证码绕过导致可暴力破解账户; 4. 轻微信息泄漏。包括但不仅限于路径信息泄漏、SVN信息泄漏、PHPinfo、异常信息泄露,日志打印、配置信息、异常信息等从而导致漏洞; 5. 包括但不仅限于难以利用的SQL注入点、可引起传播和利用的Self-XSS、需构造部分参数且有一定影响的CSRF漏洞,有一定影响的爆破,验证码失效绕过等难以利用但存在安全隐患的漏洞。 | ¥100~¥300 |
l 如果您按照要求提交高质量的漏洞报告,有助于我们快速复现问题,实施缓解措施例如IPS/WAF规则,相比低质量的漏洞报告,我们将会给予更高的奖励额度;
l 多个白帽子安全专家重复上报的漏洞,我们将只对第一位上报漏洞者给予奖励;
l 有时候一个报告会包含多个安全漏洞(利用多个漏洞利用造成影响),或者多个安全报告最终指向一个安全漏洞,我们将视最终的影响结果按照一次有效上报来奖励;
l 不同域名最终指向同一系统的,算作一个漏洞;
l 如果安全措施已经对漏洞的利用进行了缓解,使漏洞利用及攻击无法被真正实施,我们将会降低该漏洞的级别或者认定其为无效;
l 对于同一个URL链接,如果多个参数存在类似的漏洞,按一个漏洞计算。如XSS漏洞;
l 通常来说,漏洞演示视频不是必须的,若您觉得演示视频可以更方便的描述问题,或者有些特别的攻击场景需要用视频来证明和演示,可以联系我们,我们将提供上传地址;
额外奖励
对于特别严重或很有价值的安全漏洞,我们会发放额外奖励,范围为人民币¥5,000元到¥10,000元。
不在奖励计划范围内的漏洞
奖励计划的目标是发现和识别对同程数科业务系统以及用户数据造成影响的漏洞,但以下情况不在奖励计划范围内:
l 任何非敏感信息泄露(如IP地址,服务名称以及一些无用的错误信息,如栈跟踪信息);
l 无实际危害证明的扫描器结果;
l 其他无效的“漏洞”,包括不限于:
1) 不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。
2) 无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、URL跳转、内网 IP 地址/域名泄漏。
3) 不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。
4) 遍历手机号发短信,遍历用户名(邮箱)判断是否已注册、邮箱轰炸、验证码爆破、无额外验证导致可爆破(非重点核心功能)、无任何意义或影响的越权。
安全测试中的禁止行为
l 任何类型的拒绝服务测试;
l 通过软件或者工具自动扫描产生大量数据流量的行为;
l 任何对同程数科业务系统造成服务中断或破坏的行为;
l 非授权访问、下载、修改或删除不属于你的数据,仅允许通过POC证明问题存在;
l 发起网络钓鱼或者社会工程学攻击;
l 违反法律的行为,详情请参见《白帽测试行为规范细则》。
漏洞披露
我们要求在您上报的安全漏洞被修复之前,不要对外披露(这包括除您之外的任何第三方),否则您将不能再参加现有或将来的任何漏洞奖励计划。若您打算在我们修复漏洞之后公开讨论漏洞,这包括会议演讲,发表技术分享文章等,请提前联系lzj46672@ly.com。
最后注意事项
同程数科TJSRC对以上所有条款具有最终解释权。