小红书安全响应中心漏洞报告处置规则V1.0
发布者小红书安全响应中心发布日期2024-03-27
一 基本原则
1.小红书非常重视产品和业务的安全问题,小红书安全响应中心(以下称“我们”)欢迎白帽子、安全研究员及广大用户向我们反馈产品及业务的安全漏洞,以帮助我们提升产品安全性。我们希望借助小红书安全响应中心作为平台,加强与安全各方的合作及交流。
2.对您提交的每一份报告,我们会指定专人跟进、分析和处理,并及时予以反馈。同时对每一位帮助发现小红书安全风险的白帽子,我们将给予以感谢和回馈。
3.小红书反对一切以安全测试为借口,利用安全漏洞进行损害用户利益、影响业务运作、盗取用户数据等违法行为。
4.未经授权任何人不得对外披露漏洞/情报细节(包括但不限于在第三方平台上存储、传播或讨论漏洞/情报详情),或利用漏洞非法获利。
二 适用范围
适用于小红书所有开放在互联网的应用系统,包括但不限于*.xiaohongshu.com等。
三 测试规范
1.禁止进行可能引起业务异常运行的测试,包括但不限于任何类型的网络拒绝服务测试(DoS或DDoS)等。
2.禁止进行内网渗透测试行为,例如:获取内网权限后在内网使用扫描器、或横向接触非对外开放系统目标、获取内网应用/主机权限/数据等。
3.禁止下载、保存、传播与业务相关的敏感数据,包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料、登陆凭证等,若存在不知情的下载行为,需及时说明和删除;测试过程中获取的相关代码/数据,务必在SRC漏洞确认后立即删除,不得非法留存及使用。
4.禁止进行近源攻击或者黑客物理入侵、社会工程学测试或邮件钓鱼等非技术漏洞测试,尤其是禁止使用社工库等非法手段获取用户密码。
5.测试越权漏洞时,读取的真实数据不能超过5组,严禁进行批量读取;涉及到线上业务的增删改操作时,请勿直接对正常用户数据做操作。
6.注入漏洞严禁读取表内数据,对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。
7.测试过程中若使用了非自己的账号(如小红书员工、商家账号),请在报告中主动告知,恶意隐瞒将有可能被收回漏洞奖励。
8.小红书员工不得参与或变相参与漏洞奖励计划, 如发现是小红书员工参与该活动,我们有权不给予奖励并收回已给予的奖励,同时封禁平台账号。
四 漏洞评级标准
【严重】
1.直接获取核心服务器权限的漏洞,包括但不限于上传Webshell、任意代码执行、远程命令执行等。
2.严重的逻辑设计或流程缺陷,包括但不限于批量修改任意账号密码、任意金额支付/充值(需满足无利用限制,可提现),小红书主账号任意劫持等。
3.严重的信息泄露漏洞,包括但不限于大量用户严重敏感身份信息泄露(数量千万级,且至少包含3个敏感字段:姓名/身份证、银行卡信息、手机号/邮箱、密码、地址)等。
【高危】
1.直接获取服务器权限的漏洞,包括但不限于上传Webshell、任意代码执行、远程命令执行等。
2.敏感操作的越权、未授权访问,包括但不限于绕过认证获取管理员权限、非边缘系统后台登录弱口令等。
3.有完整回显且无限制的SSRF漏洞。
4.实际可利用(需证明可获取数据库名或者当前用户名)的SQL注入漏洞。
5.核心系统可自动传播的存储型XSS漏洞。
6.涉及金额的逻辑设计或流程缺陷,包括但不限于任意金额支付/充值、修改任意账号密码等。
7.其它可造成批量用户敏感身份信息泄露的漏洞(至少包含3个敏感字段:姓名/身份证、银行卡信息、手机号/邮箱、密码、地址)等。
8.客户端本地任意文件读写、本地代码执行等漏洞。
9.造成客户端本地敏感信息泄露的漏洞,包括但不限于越权、命令执行的利用。
【中危】
1.一般操作的越权、未授权访问,包括但不限于越权修改个人资料、越权取消/删除订单、边缘系统后台登录弱口令。
2.无完整回显或有限制的SSRF漏洞。
3.无法获取数据库或者当前用户名的SQL注入漏洞。
4.存储型XSS漏洞(包含对象存储上传的场景)
5.可造成一定危害的逻辑漏洞,包括但不限于任意手机号无限制的短信轰炸(不包含横向短信轰炸)等。
【低危】
1.影响较小的越权、未授权操作,包括但不限于越权收藏商品、越权添加购物车等。
2.无回显的SSRF漏洞。
3.反射及DOM型XSS漏洞,不包含Self型XSS。
4.含敏感信息的JSONP劫持。
5.危害有限的信息泄漏,包括但不限于swagger、无法利用的内网数据库密码、pprof等。
6.其它轻微漏洞,包括但不限于URL任意跳转、客户端本地拒绝服务、邮件轰炸。
【无】
1.CSRF漏洞。
2.无实际危害的信息泄漏,包括但不限于内网IP泄漏、js.map泄漏、用户名枚举等。
3.其它无法实际利用的漏洞,包括但不限于基本版本策略的扫描器输出报告、401基础认证钓鱼、参数无法遍历的越权/未授权访问等。
4.运营预期之内或无法造成资金损失的问题、符合业务预期的产品设计,包括但不限于可使用多个账号领取小额奖励的正常业务活动。
补充说明
1.涉及以下场景,漏洞会做降级处理:
a.越权及未授权访问等漏洞,请求所涉及的参数无法简单遍历,如id为超长位的数字;
b.利用门槛过高,包括但不限于6位验证码短时间爆破等;
c.实际危害有限,如log4j2远程代码执行漏洞只能通过dnslog外带信息,无法执行命令,定为中危;
d.需要用户交互的,如客户端one-click远程代码执行。
2.同一个漏洞源产生的多个漏洞计算为一个漏洞,包括但不限于同一个JS引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、同一个功能处的相似漏洞(如收货地址处的越权修改、查询、删除)等。
3.同一个系统短时间内发现了大量同类型漏洞(如SQL注入、越权、未授权等),默认只收取前三个,后续提交将忽略处理。
4.多个漏洞报告若存在前后关联的,如通过弱口令进入管理后台发现SQL注入、XSS等,将视为一个漏洞,并以其中危害最高的漏洞定级。
5.针对突发的0day漏洞,若无特殊说明,内部应急处理完之前仅收取第一个漏洞。
6.内部已知漏洞做忽略处理,包括但不限于内部安全人员已经发现的漏洞、内部专项处理类漏洞、已有其他白帽子优先提交的漏洞。
五 漏洞奖励标准
小红书安全响应中心将结合利用场景中漏洞的危害程度、业务重要程度等综合因素给予相应金币和贡献值。
应用等级 | 业务范围 |
核心应用 | 小红书APP及Web端、小红书商家后台(ark)APP及Web端 |
一般应用 | to B/C的主营业务:聚光平台(ad)、客服管理平台(eva)、蒲公英(pgy)、专业号(pro)、创作服务平台(creator)、商家入驻系统(gaia)、直播管理平台(redlive)Web及桌面客户端 内部核心系统:OA、邮箱、SSO、CRM等其它重要管理系统 |
边缘应用 | to B/C的非主营业务及内部其它系统 |
1.安全币奖励对应表(注:1安全币=1RMB,均为税后)
| 边缘应用 | 一般应用 | 核心应用 |
低危漏洞 | 50-70 | 80-120 | 150-250 |
中危漏洞 | 300-500 | 500-700 | 800-1200 |
高危漏洞 | 750-1250 | 1500-2000 | 2000-3000 |
严重漏洞 | 1500-2500 | 2500-3500 | 4000-6000 |
2.贡献值对应表
积分 * 对应系数 = 贡献值
危害等级 | 对应积分 | 贡献系数 | ||
边缘应用 | 一般应用 | 核心应用 | ||
低危 | 1-3 | 1 | 2 | 3 |
中危 | 4-6 | 5 | 11 | 17 |
高危 | 7-9 | 16 | 33 | 50 |
严重 | 10-12 | 33 | 66 | 100 |
六 常见问题
1.关于争议漏洞的处理
可通过邮箱security@xiaohongshu.com向我们反馈,我们将根据漏洞报告者利益优先的原则进行处理。
2.现金奖励兑换
如兑换礼品为现金奖励,为了确保您能如期收到奖励,需在小红书SRC中个人中心-我的个人信息-财务信息中补充个人财务信息,我们将于每月20号左右统一发放奖励。
