编写人:猎聘安全应急响应中心(LPSRC)
版本号:1.0
最后更新日期:2021-8-9
适用范围
本标准适用于猎聘安全应急响应中心网站(https://security.liepin.com/)所收到的所有情报。
实施日期
本标准自 2021 年 8 月 9 日起施行。
修订记录
V1.0 2021-8-9 发布第一版
猎聘安全应急响应中心(以下简称LPSRC)将定期对本标准进行评估,并根据评估结果进行调整。版本更新情况我们将通过LPSRC网站公告及【猎聘安全应急响应中心】微信公众号发布。
一、基本原则
1) 猎聘尊重每一位白帽子的劳动成果,您所提交的漏洞将由专门的安全人员跟进处理,并及时反馈处理结果。
2) 猎聘希望各位白帽子在测试漏洞的时候,能够不影响业务系统正常运行、不影响用户体验、不大量获取数据、不越权修改或删除他人信息、不进行内网渗透等破坏性行为,对于严重损害用户及猎聘利益的行为,我们保留作废漏洞奖励和追究法律责任的权利。
3) 严格遵守SRC行业安全测试规范,请参考公告栏中《SRC行业安全测试规范》。
4) 同一位置同样类型漏洞,只为第一个提交的白帽子计分。
5) 第三方软件类漏洞同一软件只为第一个提交的白帽子计分,计分标准参考一般应用积分标准。
6) SSRF测试方式参考附录
7) 对于白帽子与猎聘之间存在争议的漏洞,双方本着友好协商的态度解决。
8) 本制度内容,LPSRC会按照本制度内容、LPSRC规则及实际情况,对符合要求的安全漏洞进行奖励。
二、漏洞反馈及处理流程
1) 漏洞提交后一个工作日内,LPSRC工作人员会确认收到的漏洞报告,并开始评估问题;
2) 漏洞提交后三个工作日内,LPSRC工作人员针对漏洞问题进行处理、给出结论并计入贡献值(必要时会与报告者沟通确认,请报告者予以协助);
3) 猎聘业务部门修复报告中所反馈的漏洞并安排更新上线;
4) 修复时间根据漏洞的严重程度及修复难度而定。一般来说,严重漏洞 1 个工作日内修复,高危漏洞 5个工作日内修复,中危漏洞 7个工作日内修复,低危漏洞 10个工作日内修复;客户端安全问题受版本发布限制,修复时间根据实际情况确定;
5) 漏洞报告者可登录LPSRC复查安全问题是否修复成功,若发现已修复漏洞仍可利用,可联系处理人员,LPSRC将自主决定追加额外奖励。
三、业务范围
测试范围:猎聘的互联网重要业务,包括猎聘发布的PC端网站、客户端产品、小程序等。
核心应用:猎聘(*.liepin.com)
一般应用:乐班班(*.lebanban.com)
四、评分标准
4.1贡献值奖励范围参考
针对漏洞提交及经猎聘确认有效的贡献者,LPSRC将给予贡献者基础奖励;我们将采用安全币作为漏洞奖励,按照漏洞的重要性及等级来计算安全币。
五、漏洞评级评分标准
5.1严重漏洞
1) 直接获取核心应用系统权限的漏洞。包括但不限于远程命令执行、代码执行、写入webshell、弱口令等。
2) 严重的敏感信息泄露。包括但不仅限于核心数据库的sql注入、可获取大量核心用户的身份信息、简历文件、商业订单信息的敏感信息等问题。
3) 严重影响的逻辑漏洞。包括但不限于任意账号登录和修改密码、支付流程绕过、越权修改他人简历信息、伪造核心应用账号给任意用户发送可完全自定义内容的消息等。
5.2高危漏洞
1) 直接获取一般应用系统权限的漏洞。包括但不限于远程命令执行、代码执行、写入webshell、弱口令、不包含敏感信息的SQL注入等。
2) 重要功能的业务逻辑漏洞,包括但不限于刷猎币等,通过漏洞确实可直接获取较高利益或能给公司带来大量经济损失的漏洞。
3) 重要的未授权访问操作,包括但不限于绕过认证直接访问含有敏感信息的管理后台操作、重要业务含有敏感信息的未授权访问、重要业务后台弱口令且业务中有实际操作权限、增删改查任意用户信息等较为重要的越权行为、可直接获取大量内网敏感信息的SSRF(不得对内网扫描)。
5.3中危漏洞
1) 需要交互才能触发的漏洞。包括但不限于存储型 XSS、核心业务重要敏感操作的 CSRF。
2) XXE,SSRF(SSRF漏洞请根据 “附录” 进行测试,需证明该漏洞点确实可以访问内网,且不得对内网服务进行扫描)。
3) 任意文件读取。
4) 普通越权操作。包括但不仅限于可查询其它少量用户数据的越权操作.
5) 排除正常业务逻辑之外的一般信息泄露。包括但不仅限于 Github 涉及猎聘内部系统、邮箱密码泄露。
5.4低危漏洞
1) 只能在特定环境(如小于 IE11 的浏览器等)才能触发的漏洞。包括但不限于存储型 XSS、反射型 XSS、DOM-XSS等。
2) 轻微信息泄露。包括但不限于 Github 泄露的非敏感系统源码及密码、SVN文件泄漏、phpinfo、logcat敏感信息泄漏。
3) url跳转。包括但不限于猎聘重要子域名下的URL 跳转漏洞,需证明可直接跳转。
4) 能直接访问猎聘内网但无回显的 SSRF 漏洞。
5) 对任意指定用户或手机号无限制的短信轰炸(参考标准:30 条/单手机号/分钟)。
6) 其他利用难道较高、危害较低的漏洞。
5.5无效漏洞
1) 无关安全的bug。包括但不限于网页乱码、网页无法打开、某功能无法用。
2) 无法利用的“漏洞”。包括但不限于没有实际意义的扫描器漏洞报告(如 Web Server 的低版本)、Self-XSS、无敏感信息的 JSON Hijacking、无敏感操作的 CSRF(如收藏、非重要业务的订阅、非重要业务的普通个人资料修改等)、无意义的源码泄漏、内网 IP 地址/域名泄漏、401 基础认证钓鱼、程序路径信任问题、无敏感信息的 logcat 信息泄漏、明文传输。
3) 运营预期之内或无法造成资金损失的问题。包括但不限于可使用多个账号领取小额奖励的正常业务活动。
4) 其他猎聘认为可以忽略的漏洞,比如无意义的CORS等。
六、奖励发放原则
1) 安全币(LPSRC 网站上的一种虚拟货币)可以兑换奖品,除非特别声明,未使用的安全币不会过期。
2) 如果使用安全币兑换的礼品为电子礼品卡,则电子礼品卡将于信息审核通过后次月月初发放。如因报告者未能完善资料导致的延误,将顺延至下个批次处理。
七、补充说明及注意事项
1) 白帽子在漏洞提交及处理过程中,如果对流程处理、漏洞定级、漏洞评分等有异议的可在LPSRC对应漏洞后留言或者联系我们的工作人员。
2) LPSRC尊重每位白帽子的付出,将根据漏洞报告者利益优先的原则进行处理,我们会安排安全工程师对争议进行沟通,必要时可引入外部人士共同裁定。
3) 如果同一漏洞由多位漏洞报告者提交,在进行奖励时,我们会以LPSRC网站管理后台显示的最先提交者为唯一受奖励者。
八、争议解决办法
漏洞处理过程中,如有漏洞报告者对处理流程、评分等级具有异议的,可直接通过以下渠道进行反馈:
邮箱:src@liepin.com
附录:SSRF测试方式
1) 请求http://ssrf.tongdao.cn/ssrf.html,返回it works
捐款成功,感谢您的无私奉献
