安全漏洞处理流程
【漏洞提交】
白帽子登录途牛安全应急响应中心提交报告,提交成功后显示状态“未处理”。
【漏洞审核阶段】
途牛安全中心工作日当天或隔天专员审核。不属于安全漏洞的报告状态变更为“忽略”;已经确认的报告状态变更为“已确认”,同时我们会按照安全漏洞评分标准给予白帽子相应积分,积分可兑换礼品。
【漏洞处理阶段】
漏洞修复需要一定时间,有新的进展我们会第一时间反馈给 提交者。修复后的报告状态变更为“已修复”。
漏洞危害等级评分标准
严重:【50-100】
1)直接获取系统权限(服务器端权限、客户端权限)的漏洞,包括但不限于任意命令执行、任意文件包含、任意文件上传、任意代码执行等;
2)严重级别的敏感信息泄露。包括但不限于可以获取重要数据的SQL 注入、源代码泄漏等;
3)严重级别的逻辑设计缺陷。包括但不限于任意账号登陆、任意账号密码修改、任意账号资金消费、订单遍历、支付绕过等;
4)直接导致拒绝服务的漏洞。包括通过该远程拒绝服务漏洞直接导致线上应用系统、网络设备、服务器无法继续提供服务的漏洞。
高危:【30-50】
1)能直接盗取主站,网银等关键业务等用户身份信息漏洞,包括但不限于重点页面存储型XSS,普通系统的SQL注入漏洞等;
2)高风险信息泄露漏洞。包括但不限于任意文件操作漏洞,源代码压缩包泄露,配置信息泄露
3)高风险的逻辑设计缺陷。包括但不限于查看任意用户信息、修改相关状态等。
4)越权访问,包括绕过验证直接访问后台、后台登录弱口令、以及其他服务的弱口令等。
5)可获取客户端权限的漏洞。包括但不限于远程任意命令执行,远程缓冲区溢出以及逻辑问题导致的客户端漏洞。
中危:【 10-30 】
1) 普通的信息泄漏,包括但不限于客户端明文密码存储,利用难度高的sql注入等;
2) 需交互才能获取用户身份信息的漏洞,包括但不限于重要操作的CSRF、普通业务的存储型XSS等;
3) 普通的越权操作以及设计缺陷和流程缺陷等。
低危:【 0-10 】
1) 轻微的信息泄露,包括但不限于路径、phpinfo、svn、异常信息泄露、反射型XSS,JSON Hijacking 等;
2) URL跳转漏洞;
无危害:【 0 】
1)不涉及安全问题的bug。包括但不限于产品功能缺陷,页面乱码,样式乱码等。
2)无法利用的漏洞。包括但不限于self-xss。
3)不能重现的漏洞。包括但不限于途牛安全应急响应中心专员无法重现的漏洞。
4)纯属用户猜测的问题。
5)非途牛旅游网业务漏洞。
积分奖励系数:
严重【2倍】
根据漏洞对途牛业务影响程度,由途牛安全应急响应中心确认后,可给予2倍积分奖励。
高危【1.5倍】
根据漏洞对途牛业务影响程度,由途牛安全应急响应中心确认后,可给予1.5倍积分奖励。
白帽子获取rank/安全币算法规则:
漏洞危害等级评分*积分奖励系数=最终获取安全币
例:严重漏洞100分*奖励系数2倍=200 安全币
争议解决办法
在漏洞处理过程中,如果报告者对处理流程、漏洞评定、漏洞评分有争议的,请通过邮件sec.tuniu.com并以邮件标题【途牛漏洞处理异议】进行反馈,我们会有专门工作人员负责优先处理此类反馈。
最终解释权归途牛安全应急响应中心所有