猎聘SRC漏洞处理标准V2.0

发布日期:2021-09-18

分享

LPSRC漏洞处理和评分标准



编写人:猎聘安全应急响应中心(LPSRC)
版本号:2.0
最后更新日期:2021-9-18


适用范围
本标准适用于猎聘安全应急响应中心网站(https://security.liepin.com/)所收到的安全漏洞情报。

实施日期
本标准自 2021 年 9 月 18 日起施行。

修订记录
V1.0 2021-8-9 发布第1版
V2.0 2021-9-18 发布第2版
猎聘安全应急响应中心(以下简称LPSRC)将不定期对本标准进行评估,并根据评估结果进行调整。版本更新情况我们将通过LPSRC网站公告及【猎聘安全应急响应中心】微信公众号发布。


一、基本原则
1) 猎聘尊重每一位白帽子的劳动成果,您所提交的漏洞将由专门的安全人员跟进处理,并及时反馈处理结果。
2) 猎聘希望各位白帽子在测试漏洞的时候,能够不影响业务系统正常运行、不影响用户体验、不大量获取数据、不越权修改或删除他人信息、不进行内网渗透等破坏性行为,对于损害用户及猎聘利益的行为,我们保留作废漏洞奖励和追究法律责任的权利。
3) 严格遵守SRC行业安全测试规范,请参考公告栏中《SRC行业安全测试规范》。
4) 同一漏洞,只为第一个提交的白帽子计分。
5) 第三方的软件、组件类漏洞,同一漏洞只为第一个提交的白帽子计分,计分标准参考一般应用积分标准。
6) SSRF测试方式参考附录。
7) 对于白帽子与猎聘之间存在争议的漏洞,双方本着友好协商的态度解决。
8) LPSRC会按照本制度内容及实际情况,对符合要求的安全漏洞进行奖励。


二、漏洞反馈及处理流程
1) 漏洞提交后下一个工作日内,LPSRC工作人员会针对所提交的安全问题展开评估工作;
2) 漏洞提交后三个工作日内,LPSRC工作人员针对漏洞问题进行处理、反馈评估结果(必要时会与报告者沟通确认,请报告者予以协助);
3) 猎聘业务部门修复报告中所反馈的漏洞并安排更新上线;
4) 修复时间根据漏洞的严重程度及修复难度而定。一般来说,严重漏洞 1 个工作日内修复,高危漏洞 5个工作日内修复,中危漏洞 7个工作日内修复,低危漏洞 10个工作日内修复;客户端安全问题受版本发布限制,修复时间根据实际情况确定;
5) 漏洞报告者可登录LPSRC复查安全漏洞的修复状态并对已修复漏洞进行核验,若发现已修复漏洞仍可利用,请及时联系LPSRC运营人员。

三、业务范围
测试范围:猎聘的互联网重要业务,包括猎聘发布的PC端网站、客户端产品、小程序等。
核心应用:liepin.com域名下的面向公众的招聘和求职应用
一般应用:lebanban.com域名下的乐班班应用,duomian.com域名下的多面应用
其他应用:liepin.com、lebanban.com、duomian.com域名下的其他应用

四、奖励标准
4.1、贡献值奖励
针对提交自主发现的安全漏洞并经猎聘安全团队确认有效的白帽子贡献者,LPSRC将给予贡献者奖励;我们采用贡献值作为漏洞奖励的基本单位,按照漏洞所在业务的重要性、安全漏洞的危害和影响向白帽子计发贡献值。

LPSRC贡献值范围(单位:贡献值)


4.2、贡献值与安全币的对应关系
1) 安全币是LPSRC 网站中的一种虚拟货币。安全币=贡献值*10(LPSRC有权根据实际情况调整该计算公式,以LPSRC网站最新公告为准);
2) 安全币可在LPSRC网站上的虚拟市场兑换礼品。
4.3、其它奖励
1) 特殊奖励
特别重大的漏洞,LPSRC会有特殊奖励,由LPSRC自主决定该特殊奖励的内容、形式;
2) 其它奖励
除基础奖励及特殊奖励外,LPSRC会不定期开展社区活动,如贡献值排行榜奖励、节假日福利活动等,具体安排将于活动前期在猎聘安全应急响应中心公告,敬请关注LPSRC官方网站security.liepin.com。

五、漏洞评级标准
5.1、严重漏洞
1) 直接获取应用系统后台最高管理权限的漏洞。包括但不限于远程命令执行(如Java RCE漏洞、PHP RCE漏洞)、代码执行、写入并可利用的webshell、重要的业务后台弱口令并且后台操作具备重大危害。
2) 严重的敏感信息泄露。包括但不仅限于核心数据库的sql注入、可获取大量核心用户的身份信息、明文的服务器密码文件、求职者简历文件、商业订单信息中的敏感信息等。
3) 严重影响的逻辑漏洞。包括但不限于任意账号登录、任意修改密码、订单支付流程绕过、可导致大量资金损失的支付逻辑设计缺陷、任意修改他人简历信息、伪造核心应用账号给任意用户发送可完全自定义内容的消息等。
5.2、高危漏洞
1) 直接获取应用系统后台权限的漏洞。包括但不限于业务后台一般用户弱口令并且后台操作可造成实际危害、服务器任意文件下载、不包含敏感信息的SQL注入等。
2) 重要功能的业务逻辑漏洞,包括但不限于刷猎币、通过漏洞可直接获取较高利益或能给公司带来大量经济损失的漏洞,如付费课程的白嫖行为等。
3) 重要的未授权访问操作,包括但不限于绕过认证直接访问含有敏感信息的管理后台操作、重要业务内的敏感信息被未授权访问、重要业务管理后台的删改任意用户信息的越权行为、可直接获取大量内网敏感信息的SSRF(不得对内网扫描)等。
4) 重要的敏感资源泄露。泄露内网数据库敏感信息,泄露客户的重要信息如查询大量敏感信息,页面被植入黑链(黄赌毒链接)等。
5) 商业道具相关。可以造成大量经济损失的未授权领取道具、未付费使用小额付费功能/道具等。
5.3、中危漏洞
1) 需要交互才能触发的漏洞。包括但不限于存储型 XSS、核心功能的敏感操作的 CSRF。
2) XXE,SSRF(SSRF漏洞请根据 “附录” 进行测试,需证明该漏洞点确实可以访问内网,且不得对内网服务进行扫描)。
3) 任意文件上传、暴力破解等。
4) 普通越权操作。包括但不仅限于可查询/下载其它用户的少量业务数据的越权操作,对非业务关键对象的增删改查越权操作。
5) 一般信息泄露。包括但不仅限于 Github 涉及猎聘内部系统代码、邮箱密码泄露等。
6) 可影响非核心功能的逻辑漏洞。例如重复领取小额优惠券、已知的预期内小额支付绕过等。
5.4、低危漏洞
1) 只能在特定环境(如版本低于IE11的浏览器等)才能触发的漏洞。包括但不限于反射型 XSS、DOM-XSS等。
2) 轻微信息泄露。包括但不限于SVN文件泄漏、phpinfo、logcat信息泄漏、配置文件泄露、webpack暴露等。
3) url跳转。包括但不限于猎聘重要子域名下的URL 跳转漏洞,需证明可直接跳转。
4) 能直接访问猎聘内网但无回显的 SSRF 漏洞,仅可造成垃圾数据的越权写漏洞、非业务敏感信息的越权查询漏洞等。
5) 对任意指定用户或手机号无限制的短信轰炸(参考标准:30 条/单手机号/分钟)。
6) 攻击者需要配合其他违法手段才能利用的安全问题。
7) 其他利用难度较高、危害较低的漏洞,如钓鱼登录等。
5.5、无效漏洞
1) 无关安全的bug。包括但不限于网页乱码、网页无法打开、某功能无法使用等。
2) 无法利用的“漏洞”。包括但不限于没有实际意义的扫描器漏洞报告(如 Web Server 的低版本)、Self-XSS、无敏感信息的 JSON Hijacking、无敏感操作的 CSRF(如收藏、非重要业务的订阅、非重要业务的普通个人资料修改等)、无意义的源码泄漏、内网 IP 地址/域名泄漏、401 基础认证钓鱼、程序路径信任问题、无敏感信息的 logcat 信息泄漏、明文传输等。
3) 运营预期之内或无法造成资金损失的问题。包括但不限于可使用多个账号领取小额奖励的正常业务活动等。
4) 其他猎聘认为可以忽略的漏洞,包括但不限于轻微越权操作但无任何实际危害的漏洞,业务方不认可其危害且不会去修复的漏洞,无意义的CORS等。

六、奖励发放原则
1) 安全币(LPSRC 网站上的一种虚拟货币)可以兑换奖品,除非特别声明,未使用的安全币不会过期。
2) 如果使用安全币兑换的礼品需要快递配送,则礼品将于信息审核通过后的次月月初发放。如因报告者未能完善资料导致的延误,将顺延至下个批次处理。

七、补充说明及注意事项
1) 白帽子在漏洞提交及处理过程中,如果对处理流程、漏洞定级、漏洞评分等有异议的可在LPSRC对应漏洞后留言联系我们的工作人员。
2) LPSRC尊重每位白帽子的付出,将根据漏洞报告者利益优先的原则进行处理,我们会安排安全工程师对争议进行沟通,必要时可引入外部人士共同裁定。
3) 如果同一漏洞由多位漏洞报告者提交,在进行奖励时,我们会以LPSRC网站管理后台显示的最先提交者为唯一受奖励者。

八、争议解决办法
漏洞处理过程中,如有漏洞报告者对处理流程、评分等级、审核员处理结果有异议的,可直接通过以下渠道进行反馈。
邮箱:src@liepin.com

附录:SSRF测试方式
1) 请求http://ssrf.tongdao.cn/ssrf.html,返回it works