猎聘SRC漏洞处理标准V5.0

发布日期:2024-03-05

分享

LPSRC 漏洞处理和评分标准



编写人:猎聘安全应急响应中心(LPSRC)
版本号:5.0
最后更新日期:2024-03-05


适用范围
本标准适用于猎聘安全应急响应中心网站(https://security.liepin.com/)所收到的安全漏洞情报。


实施日期
本标准自2024年03月05日起施行。


修订记录
V1.0 2021-8-9 发布第1版
V2.0 2021-9-30 发布第2版
V3.0 2022-01-18 发布第3版
V4.0 2022-03-23 发布第4版
V5.0 2024-03-05 发布第5版
猎聘安全应急响应中心(以下简称LPSRC)将不定期对本标准进行评估,并根据评估结果进行调整。版本更新情况我们将通过LPSRC网站公告及【猎聘安全应急响应中心】微信公众号发布。



一、基本原则
1) 猎聘尊重每一位白帽子的劳动成果,您所提交的漏洞将由专门的安全人员跟进处理,并及时反馈处理结果。
2) 各位白帽子在安全测试过程中,禁止影响业务系统正常运行、禁止影响用户体验、禁止批量获取数据、禁止越权修改或删除他人信息、禁止对系统可用性和基础设施进行破坏性测试,对于损害用户及猎聘利益的行为,我们保留作废漏洞奖励和追究法律责任的权利。请严格遵守SRC行业安全测试规范(参考公告栏中《SRC行业安全测试规范》)。
3) LPSRC会以本制度为原则,根据业务分类和漏洞等级,对符合要求的安全漏洞进行奖励。同一漏洞,只为第一个提交的白帽子进行计分和奖励,后续提交将作为“重复漏洞”忽略。
4) 第三方服务和产品、操作系统软件、中间件、SDK、组件类漏洞,将作为安全情报处理,视对猎聘的影响程度,酌情适当奖励,计分标准按照“其他应用”类别执行。
5) 对于白帽子与猎聘之间存在争议的漏洞,以具体漏洞的直接风险为判断原则,双方友好协商解决。

二、漏洞反馈及处理流程
1) 漏洞提交后下一个工作日内,LPSRC工作人员会针对所提交的安全问题展开评估工作;
2) 漏洞提交后三个工作日内,LPSRC工作人员针对漏洞问题进行处理、反馈评估结果(必要时会与报告者沟通确认,请报告者予以协助);
3) 猎聘业务部门修复报告中所反馈的漏洞并更新上线;
4) 修复时间根据漏洞的严重程度及修复难度而定。一般来说,严重漏洞 1 个工作日内修复,高危漏洞 5个工作日内修复,中危漏洞 7个工作日内修复,低危漏洞 10个工作日内修复;客户端安全问题受版本发布限制,修复时间根据实际情况确定;
5) 漏洞报告者可登录LPSRC复查安全漏洞的修复状态并对已修复漏洞进行核验,若发现已修复漏洞仍可利用,请及时联系LPSRC运营人员。


三、业务范围
测试范围:猎聘的互联网业务,包括猎聘发布的PC端网站、APP客户端、微信小程序等。
核心应用:liepin.com域名下的面向公众的招聘和求职应用
一般应用:www.duolie.com、www.lebanban.com、www.duomian.com
其他应用:liepin.com、duolie.com、lebanban.com、duomian.com域名下的其他应用
客户端应用:猎聘app、多面app、乐班班app


四、奖励标准
4.1、贡献值奖励
针对提交自主发现的并经猎聘安全团队确认有效安全漏洞的白帽子贡献者,LPSRC将给予贡献者奖励;我们采用贡献值作为漏洞奖励的基本单位,按照漏洞所在业务分类、安全漏洞的危害和影响级别向白帽子计发贡献值。


LPSRC贡献值范围(单位:贡献值)



4.2、贡献值与安全币的对应关系
1) 安全币是LPSRC 网站中的一种虚拟货币。安全币=贡献值*10(LPSRC有权根据实际情况调整该计算公式,以本文档最新版本为准)。
2) 安全币可在LPSRC网站上的虚拟市场兑换礼品。
4.3、其它奖励
1) 特殊奖励
对于特别重大的安全漏洞,LPSRC会有特殊奖励,由LPSRC自主决定该奖励的形式和内容。
2) 其它奖励
除基础奖励及特殊奖励外,LPSRC会不定期开展社区活动,如积分加倍活动、贡献值排行榜奖励、节假日福利活动等,具体安排将于活动前在猎聘安全应急响应中心公告,敬请关注LPSRC官方网站 security.liepin.com。


五、漏洞评级标准
5.1、严重漏洞
1) 直接获取应用系统后台最高管理权限的漏洞。包括但不限于远程命令执行(如Java RCE漏洞、PHP RCE漏洞)、代码执行、写入并可利用的webshell、重要业务后台的具备产生重大危害操作权限的弱口令漏洞。
2) 严重的敏感信息泄露。包括但不仅限于核心数据库的sql注入、可获取大量核心用户的身份信息、明文的公网服务器密码文件、批量求职者简历文件、批量商业订单中的敏感信息等。
3) 严重影响的逻辑漏洞。包括但不限于任意账号登录、任意修改密码、订单支付流程绕过、可导致大量资金损失的支付逻辑设计缺陷、任意修改他人简历信息、盗用猎聘官方身份给任意用户发送自定义内容的消息等。

5.2、高危漏洞
1) 直接获取应用系统后台权限的漏洞。包括但不限于业务后台一般用户弱口令并且后台操作可造成实际危害、服务器任意文件下载、不包含敏感信息的SQL注入等。
2) 重要功能的业务逻辑漏洞,包括但不限于刷猎币、通过漏洞可直接获取较高利益或能给公司带来大量经济损失的漏洞,如付费课程的白嫖行为等。
3) 重要的未授权访问操作,包括但不限于绕过认证直接访问含有敏感信息的管理后台操作、重要业务内的敏感信息被未授权访问、重要业务管理后台的删改任意用户信息的越权行为、可直接获取大量内网敏感信息的SSRF(不得对内网扫描)等。
4) 重要的敏感资源泄露。泄露内网数据库敏感信息,泄露客户的重要信息如查询大量敏感信息,页面被植入黑链(黄赌毒链接)等。
5) 商业道具相关。可以造成大量经济损失的未授权领取道具、未付费使用小额付费功能/道具等。
6) 移动客户端任意代码执行漏洞,包括但不限于具备完整利用链的内存破坏漏洞、利用动态库覆写或其它业务逻辑上问题导致的任意代码执行等。
7) 移动客户端本地提权漏洞,本地提权至App权限执行敏感操作。包括但不限于打开App任意私有组件、修改App安全设置以及短信读写、客户端沙箱数据读写、第三方应用可以跨应用调用移动客户端产品的功能完成一些高危操作等。

5.3、中危漏洞
1) 需要交互才能触发的漏洞。包括但不限于存储型 XSS、核心功能的敏感操作的 CSRF。
2) XXE,SSRF(SSRF漏洞请根据 “附录” 进行测试,需证明该漏洞点确实可以访问内网,且不得对内网服务进行扫描)。
3) 任意文件上传、暴力破解等。
4) 普通越权操作。包括但不仅限于可查询/下载其它用户的少量业务数据的越权操作,对非业务关键对象的增删改查越权操作。
5) 一般信息泄露。包括但不仅限于 Github 涉及猎聘内部系统代码、邮箱密码泄露等。
6) 可影响非核心功能的逻辑漏洞。例如重复领取小额优惠券、已知的预期内小额支付绕过等。
7) 移动客户端直接获取敏感信息漏洞,如弱加密算法引起的敏感信息泄露、通信过程中引起的敏感信息泄露、local- storage处理不当引起的敏感信息泄露、客户端明文存储密码、密码明文传输等。

5.4、低危漏洞
1) 只能在特定环境(如版本低于IE11的浏览器等)才能触发的漏洞。包括但不限于反射型 XSS、DOM-XSS等。
2) 轻微信息泄露。包括但不限于SVN文件泄漏、phpinfo、logcat信息泄漏、配置文件泄露、webpack暴露等。
3) url跳转。包括但不限于猎聘重要子域名下的URL 跳转漏洞,需证明可直接跳转。
4) 能直接访问猎聘内网但无回显的 SSRF 漏洞,仅可造成垃圾数据的越权写漏洞、非业务敏感信息的越权查询漏洞等。
5) 对任意指定用户或手机号无限制的短信轰炸(参考标准:30 条/单手机号/分钟)。
6) 攻击者需要配合其他违法手段才能利用的安全问题。
7) 其他利用难度较高、危害较低的漏洞,如钓鱼登录等。
8) 移动客户端本地拒绝服务漏洞,如:客户端本地拒绝服务(需用户交互的命令执行、解析文件格式、网络协议产生的崩溃),组件权限导致的本地拒绝服务、 Android 组件权限暴露、普通应用权限引起的问题等。
9) 移动客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息、异常信息等。

5.5、无效漏洞
1) 无关安全的bug。包括但不限于网页乱码、网页无法打开、某功能无法使用等。
2) 无法利用的“漏洞”。包括但不限于没有实际意义的扫描器漏洞报告(如 Web Server 的低版本)、Self-XSS、无敏感信息的 JSON Hijacking、无敏感操作的 CSRF(如收藏、非重要业务的订阅、非重要业务的普通个人资料修改等)、无意义的源码泄漏、内网 IP 地址/域名泄漏、401 基础认证钓鱼、程序路径信任问题、无敏感信息的 logcat 信息泄漏、明文传输等。
3) 运营预期之内或无法造成资金损失的问题。包括但不限于可使用多个账号领取小额奖励的正常业务活动等。
4) 其他猎聘认为可以忽略的漏洞,包括但不限于轻微越权操作但无任何实际危害的漏洞,业务方不认可其危害且不会去修复的漏洞,无意义的CORS等。

六、奖励发放原则
1) 安全币(LPSRC 网站上的一种虚拟货币)可以兑换奖品,除非特别声明,未使用的安全币不会过期。
2) 如果使用安全币兑换的礼品需要快递配送,则礼品将于信息审核通过后的次月月初发放。如因报告者未能完善资料导致的延误,将顺延至下个批次处理。


七、补充说明及注意事项
1) 白帽子在漏洞提交及处理过程中,如果对处理流程、漏洞定级、漏洞评分等有异议的可在LPSRC对应漏洞后留言联系我们的工作人员;
2) LPSRC尊重每位白帽子的付出,将根据漏洞报告者利益优先的原则进行处理,我们会安排安全工程师对争议进行沟通,必要时可引入外部人士共同裁定;
3) 如果同一漏洞由多位漏洞报告者提交,在进行奖励时,我们会以LPSRC网站管理后台显示的最先提交者为唯一受奖励者;
4) 禁止上传病毒、木马、后门等恶意代码或程序;
5) 禁止对猎聘客户信息、公司数据、程序代码进行篡改、删除或泄漏操作;
6) 禁止使用任何手段发起网络拒绝服务攻击(DoS 或者 DDoS)、自动化扫描测试、高频请求等影响猎聘系统服务可用性的测试行为;
7) 测试过程中如果发现猎聘系统服务中断或故障,应第一时间通知猎聘安全应急响应中心;
8) 测试可直接威胁企业内网及数据库安全的漏洞或情报时,证明漏洞存在即可,禁止对内网主机进行安全测试或其他内网横向探测活动;
9) 禁止公开传播漏洞信息;
10) 越权类测试请自行注册AB账号测试,禁止大批量操作其他用户信息,违规者则此漏洞以无效处理并禁止提现账户内所有奖金,对情节严重者将依法追究责任;
11) 短信、邮箱轰炸类请使用自有账号测试,请勿对他人账号造成困扰。


八、业务保护机制
如果同一个系统中短时间发现大量同类型漏洞(如SQL注入、越权等),审核人员会与业务沟通,若业务认为该类漏洞已知且不再收取,则平台会根据业务要求只收录第一个,其他同类型漏洞均降级处理或不再收录,并发布通知同系统同类型漏洞均不再收取。


九、争议解决办法
漏洞处理过程中,如有漏洞报告者对处理流程、评分等级、审核员处理结果有异议的,可直接通过以下渠道进行反馈:
邮箱:src@liepin.com
附录:SSRF测试方式
1) 请求http://ssrf.tongdao.cn/ssrf.html,返回it works