安全公告
Security Bulletin
近期公告
  • June 10, 2019, 2:04 p.m.

                享道出行安全应急响应中心漏洞处理流程及评分标准

     

    版本V1.0
    生效日期 2019年4月18日

     

    1.    基本原则

          享道出行非常重视自身产品和业务的信息安全问题,也真诚希望安全研究者能协助我们提升产品和业务的信息安全水平。我们承诺,对每一位报告者反馈的问题都有专人进行跟进、分析和处理,并及时给予答复。

          享道出行支持负责任的漏洞披露和处理过程,我们承诺,对于每位恪守白帽子精神,保护用户利益,帮助享道出行提升信息安全质量的用户,我们将按照漏洞质量给予相应的感谢和回馈。

          享道出行反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞等。并保留依法追究责任的权利。

          提交的漏洞禁止以任何形式公开,禁止重复提交到其它第三方漏洞平台,一经发现取消此用户漏洞奖励和其他各种特殊奖励。

          享道出行反对和谴责一切利用安全漏洞恐吓用户、攻击竞争对手的行为。

     

    2.    漏洞处理流程

          我们的漏洞处理流程如下:

    漏洞处理流程404.PNG

          漏洞处理说明:

        1.漏洞提交后一个工作日内享道出行安全应急响应中心(以下简称XDSRC)工作人员确认报告并评估,非工作日内严重和高危漏洞由值班人员24小时内确认并评估。

        2.如报告者提供的信息不清晰或不充分,XDSRC工作人员会根据报告提交者个人信息中的联系方式与之联系,由报告者进行漏洞修订或补充,7天内未补充或联系不到的,按忽略处理。

        3.漏洞确认后三个工作日内 XDSRC 工作人员将向报告者发放相应的贡献值和金币贡献值和金币将在报告者的注册账户中体现。贡献值和金币计算规则详见第3条评分标准。金币非货币,不具有任何流通性,且仅可根据本网页的相关规定使用。

     

    3.    漏洞评级评分标准

    3.1.   评级评分表

    漏洞评分表.PNG

    漏洞贡献值(“贡献值”) =  基础贡献值 X 应用系数

    漏洞金币数(“金币”)=  漏洞贡献值 X N(日常情况N=1,活动期间N值按活动具体定义取值)

    漏洞贡献值用于计算排名,漏洞金币用于礼品兑换。

             基础贡献值根据漏洞的等级情况确定,每一漏洞的具体基础贡献值数值由XDSRC工作人员在上述评分表范围内进行自行判断并确定。

    应用系数根据业务类型进行区别,核心业务的应用系数为20,一般业务的应用系数为10。

    核心业务包括:享道出行乘客端APP(iOS版和Android版)、享道出行司机端APP(iOS版和Android版)、享道出行官网(https://www.saicmobility.com/

    一般业务包括:核心业务以外能确认属于享道出行的非测试应用系统

    注:核心业务范围会跟据享道出行业务的发展而新增,请关注我们的最新公告。


    3.2.   漏洞等级说明

          根据漏洞的危害程度将漏洞等级分为严重、高危、中危、低危、无影响五个等级。由XDSRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值和漏洞定级,每种等级包含的评分标准及漏洞类型如下:

               3.2.1. 严重

    1)     直接获取系统权限(服务端权限、客户端权限)的漏洞,包括但不限于任意代码执行、任意命令执行、上传Webshell等;

    2)     严重的逻辑设计缺陷,包括但不限于账户、支付方面的安全问题,如任意账号登陆、任意账号密码修改、任意账号资金消费、支付交易方面的严重问题;

    3)     严重的信息泄露,包括但不限于核心DB的SQL注入漏洞,用户账户支付相关信息泄露等;

    4)     移动端:远程代码执行,严重的信息泄露(支付相关信息如卡号,有效期等)等;

    5)     PC端:可利用的远程代码执行漏洞,包含但不限于堆栈溢出、UAF、逻辑错误导致的漏洞等;

    6)     其他经XDSRC认定属于严重的系统漏洞。

     

    3.2.2. 高危

    1)     高风险的信息泄露漏洞,包括但不限于核心应用源代码压缩包下载、包含客户资料(证件信息,手机,地址等)或服务器敏感信息的日志文件下载;

    2)     影响应用正常运转,造成不良影响的漏洞,包括但不限于应用层拒绝服务等;

    3)     越权访问,包括但不仅限于绕过认证直接访问管理后台可操作,应用非授权访问、应用后台弱密码等;

    4)     平行权限,包括但不仅限于能够访问其他用户敏感信息(包括个人资料信息和订单信息)、针对非当前登录用户的越权操作等;

    5)     移动端:未验证https证书,第三方应用跨应用调用移动客户端的功能完成一些高危操作(如文件读写,短信读写,客户端自身数据读写等),高风险的信息泄露(参照第1条)等;

    6)     PC端:本地任意代码执行,包含但不限于可利用的DLL劫持、堆栈溢出、UAF、本地提权等 ;

    7)     其他经XDSRC认定属于高危的系统漏洞。

     

     

    3.2.3. 中危 

    1)     普通信息泄露,包括但不限于客户端明文存储密码、包含服务器或数据库敏感信息的源代码压缩包下载等;

    2)     弱验证机制引发的漏洞,包括但不限于可暴力破解的加密方式、未做访问次数限制的业务相关接口等;

    3)     需交互才能获取用户身份信息的漏洞,包括但不限于敏感操作的CSRF,jsonhijacking、可造成严重危害的存储型XSS等;

    4)     移动端:拒绝服务,普通的信息泄露(参见第1条)等;

    5)     PC端:远程拒绝服务,普通的信息泄露等;

    6)     其他经XDSRC认定属于中危的系统漏洞。

     

    3.2.4. 低危 

    1)     可被利用于钓鱼攻击的漏洞,包括但不限于URL重定向漏洞等;

    2)     提供poc但难以利用的安全隐患。包括但不限于可能引起传播的self-xss、不能引起较大危害的存储型XSS(包括仅自己可见的存储型XSS)、反射型XSS(包括反射型DOM-XSS,Flash型XSS)等;

    3)     移动端:本地拒绝服务(包含但不限于Android组件权限导致的拒绝服务),轻微的信息泄露等;

    4)     PC端:轻微的信息泄露等;

    5)     其他经XDSRC认定属于低危的系统漏洞。

     

    3.2.5. 无影响  

    1)     不涉及安全问题的BUG,包括但不限于产品功能缺陷、页面乱码、样式问题;

    2)     无法利用的漏洞,包括但不限于难以利用的self-xss、非敏感操作的CSRF、无敏感信息的jsonhijacking、无敏感操作的CSRF、无意义的源码泄露、内网ip地址/域名泄露、后台信息泄漏、路径信息泄露、TFS信息泄露、网站路径泄露等;

    3)     不能重现的漏洞,包括但不仅限于XDSRC工作人员确认无法重现的漏洞;

    4)     移动端:无意义的打印等;

    5)     PC端:无利用价值的Crash等;

    6)     其他任何XDSRC工作人员认定属于无影响的。

     

    3.3.   评分标准通用原则 

    1)     评分标准仅适用于享道出行的产品和业务。与享道出行完全无关的漏洞,不计分。

    2)     同一个漏洞源导致的多个利用点视为一个漏洞处理,按危害级别最高的漏洞计分。例如同一功能模块下多个注入点或者多个xss、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个安全漏洞等。

    3)     各等级漏洞的最终评分由漏洞利用难度及影响范围等综合因素决定,若漏洞触发条件非常苛刻,包括但不限于特定浏览器才可触发的XSS漏洞,则可跨等级调整分数。

    4)     同一漏洞,有多个报告者的,以XDSRC收到的完整报告的时间(如报告递交后须补充内容的,以补充报告递交的时间为准)计算首位报告者,该首位报告者可获得相应金币,其他报告者无法获得金币

    5)     第三方产品引起的漏洞,仅首位报告者可获得金币,最高不超过4000金币,等级不高于中,且不保证修复时长,包括但不限于享道出行正在使用的Apache等服务端相关组件、OpenSSL、第三方SDK等;不同版本的同一处漏洞视为相同漏洞。

    6)     同一份报告中提交多个漏洞,仅按危害级别最高的漏洞计算金币,不累计金币

    7)     以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,将不会计分,同时享道出行保留采取进一步法律行动的权利。

    8)     享道出行员工提交漏洞不计分。

     

    4.    漏洞报告要求

                漏洞报告需包括:

    1)     详细描述漏洞的细节,并包括漏洞的易利用程度和危害性;

    2)     复现漏洞的详细步骤;

    3)     提供详细的测试环境信息,包括:漏洞涉及的URL/APP 、代码片段;您在测试时使用的帐号;非破坏性的漏洞POC(比如对于RCE漏洞,运行“hello xdsrc”);保留测试时的数据,并且作为报告附件提交。

          对于描述不清楚导致漏洞无法复现的情况一律忽略处理。

     

    5.    金币兑换及礼品发放原则

          根据评分标准获得的相应的金币会在注册账户中体现。金币仅可在XDSRC网站兑换礼品,多个漏洞产生的金币可累积使用。金币不可提现、转让、不具有现金价值。除非特别声明,金币不设有效期。

          每月20号为当月礼品兑换截止日,在每月礼品兑换截止日前已成功兑换的礼品会在每月25号寄出(非工作日则顺延)。如因注册用户未能完善资料导致无法寄送的,将顺延至下个月批量寄送时寄出;如任何非因XDSRC的原因,包括但不限于注册用户过失、货物运送方问题或其他不可抗力因素产生的礼品丢失或者损坏,XDSRC 不承担责任。XDSRC会对每个礼品订单反馈物流信息,请关注物流信息并及时签收,如遇到问题请及时与XDSRC工作人员联系。

          礼品根据实际情况进行变动,具体礼品内容以当期上架的为准。礼品有数量限制,当期上架奖品被兑换完后不再接受兑换,用户可在下期进行兑换。礼品由XDSRC的指定供应商提供,与礼品质量、性能、运输有关的一切责任或纠纷,XDSRC不承担责任。


    6.    争议解决办法

          在漏洞处理过程中,如果报告者对处理流程、漏洞评定、漏洞评分有争议的,请通过邮件sec_src@saicmobility.com并以邮件标题漏洞处理异议进行反馈,我们会有专门工作人员负责优先处理此类反馈。XDSRC将根据漏洞上报者利益优先的原则进行处理。

          工作人员QQ:530133675(请注明需要沟通XDSRC漏洞)或者加入我们官方QQ沟通群:1007377550,还可以关注我们的公众号给我们留言:

    公众号二维码.jpg

     

          享道出行安全应急响应中心在法律许可的范围内保留对本方案的最终解释权

  • May 10, 2019, 2:28 p.m.

                享道出行SRC上线活动获奖结果公布

        2019年4月18日,享道出行SRC正式上线并举行上线激励活动,详情见享道出行SRC上线,诚邀众测漏洞赢千万金币!

        活动已结束,现公布获奖情况如下:

        1、注册有礼(奖励100金币)

        奖励规则:活动期间注册并激活XDSRC账户,每位用户奖励100金币。(对使用临时邮箱注册等恶意注册的行为,一经发现,XDSRC有权进行封禁账号处理。)

        获奖情况:活动期间注册并激活账户后系统已自动奖励。

        2、阳光普照(奖励1000金币)

        奖励规则:活动期间提交至少一个有效漏洞,除漏洞本身奖励外,额外奖励1000个金币,每位用户仅可获得一次阳光普照奖励。

        获奖情况:活动期间共16位白帽子提交有效漏洞,他们的ID是:admin 、夏夜删除 、Carrypan 、secES 、悠悠我心 、mitang 、L4ttIc3 、TonyBreak 、dmzlab、wind 、tsaizq 、Allen 、Calendula 、Mortal、NoSee 、弟中弟。

         3、漏洞一血(奖励5000金币)

        奖励规则:活动期间第一个提交有效漏洞者,除漏洞本身奖励外,额外奖励5000个金币。

        获奖白帽ID:Calendula。

         4、高危一血(奖励30000金币)

        奖励规则:活动期间第一个提交有效高危或严重漏洞者,除漏洞本身奖励外,额外奖励30000个金币。

        获奖白帽ID:TonyBreak。

         5、贡献前六

        奖励规则:活动结束后,XDSRC对有提交高危或严重级别漏洞的用户按照贡献值进行排名,排名前六的用户将获得如下奖励:

        a)     贡献值第一名:额外奖励50000个金币

        b)     贡献值第二、三名:分别额外奖励30000个金币

        c)     贡献值第四、五、六名:分别额外奖励20000个金币

    (如果参与排名的用户人数不足6人则以实际人数从第一名开始进行奖励)

        获奖情况:活动期间,共有4位白帽子提交高危或严重漏洞,获得评奖资格,他们的ID是secES、弟中弟、admin、TonyBreak,具体奖励如下:

        贡献第一名:secES ,奖励50000个金币;

        贡献第二名:弟中弟,奖励30000个金币;

        贡献第三名:admin,奖励30000个金币;

        贡献第四名:TonyBreak,奖励20000个金币。

        

        以上奖励已发放到获奖者在享道出行SRC注册的账户内。

        以上所有白帽ID以2019年5月9日统计结果时用户设置的昵称为准,其中admin为截至2019年5月9日享道出行SRC排名第三位者。白帽子排名请见官网贡献排行(https://src.saicmobility.com/hall/)。