安全漏洞处理流程

【漏洞提交】

        白帽子登录途牛安全应急响应中心提交报告，提交成功后显示状态“未处理”。

【漏洞审核阶段】

        途牛安全中心工作日当天或隔天专员审核。不属于安全漏洞的报告状态变更为“忽略”；已经确认的报告状态变更为“已确认”，同时我们会按照安全漏洞评分标准给予白帽子相应积分，积分可兑换礼品。

【漏洞处理阶段】

        漏洞修复需要一定时间，有新的进展我们会第一时间反馈给 提交者。修复后的报告状态变更为“已修复”。


漏洞危害等级评分标准

严重:【50-100】

1）直接获取系统权限(服务器端权限、客户端权限)的漏洞，包括但不限于任意命令执行、任意文件包含、任意文件上传、任意代码执行等；

2）严重级别的敏感信息泄露。包括但不限于可以获取重要数据的SQL 注入、源代码泄漏等；

3）严重级别的逻辑设计缺陷。包括但不限于任意账号登陆、任意账号密码修改、任意账号资金消费、订单遍历、支付绕过等；

4）直接导致拒绝服务的漏洞。包括通过该远程拒绝服务漏洞直接导致线上应用系统、网络设备、服务器无法继续提供服务的漏洞。

高危:【30-50】

1）能直接盗取主站，网银等关键业务等用户身份信息漏洞，包括但不限于重点页面存储型XSS，普通系统的SQL注入漏洞等；

2）高风险信息泄露漏洞。包括但不限于任意文件操作漏洞，源代码压缩包泄露，配置信息泄露

3）高风险的逻辑设计缺陷。包括但不限于查看任意用户信息、修改相关状态等。

4）越权访问，包括绕过验证直接访问后台、后台登录弱口令、以及其他服务的弱口令等。

5）可获取客户端权限的漏洞。包括但不限于远程任意命令执行，远程缓冲区溢出以及逻辑问题导致的客户端漏洞。

中危:【 10-30 】

1） 普通的信息泄漏，包括但不限于客户端明文密码存储，利用难度高的sql注入等；

2） 需交互才能获取用户身份信息的漏洞，包括但不限于重要操作的CSRF、普通业务的存储型XSS等；

3） 普通的越权操作以及设计缺陷和流程缺陷等。

低危:【 0-10 】

1） 轻微的信息泄露，包括但不限于路径、phpinfo、svn、异常信息泄露、反射型XSS，JSON Hijacking 等；

2） URL跳转漏洞；

 
无危害:【 0 】

1）不涉及安全问题的bug。包括但不限于产品功能缺陷，页面乱码，样式乱码等。

2）无法利用的漏洞。包括但不限于self-xss。     

3）不能重现的漏洞。包括但不限于途牛安全应急响应中心专员无法重现的漏洞。

4）纯属用户猜测的问题。

5）非途牛旅游网业务漏洞。



积分奖励系数:

严重【2倍】
       根据漏洞对途牛业务影响程度，由途牛安全应急响应中心确认后，可给予2倍积分奖励。

高危【1.5倍】
       根据漏洞对途牛业务影响程度，由途牛安全应急响应中心确认后，可给予1.5倍积分奖励。

白帽子获取rank/安全币算法规则:

漏洞危害等级评分*积分奖励系数=最终获取安全币

例:严重漏洞100分*奖励系数2倍=200 安全币

争议解决办法

        在漏洞处理过程中，如果报告者对处理流程、漏洞评定、漏洞评分有争议的，请通过邮件sec.tuniu.com并以邮件标题【途牛漏洞处理异议】进行反馈，我们会有专门工作人员负责优先处理此类反馈。

 

        最终解释权归途牛安全应急响应中心所有