小红书安全响应中心漏洞报告处置规则V2.0
发布者小红书安全响应中心发布日期2024-03-27
版本更新信息:
版本号 | 修订内容 | 发布日期 |
V2.0 | 更新测试规范、漏洞评级的评级标准、业务等级、FAQ。 | 2024.03.26 |
V1.0 | 发布第一版/SRC上线版本《小红书安全响应中心漏洞报告处置规则V1.0 》。 | 2023.08.09 |
小红书安全响应中心漏洞报告处置规则V2.0
一 基本原则
1.小红书非常重视产品和业务的安全问题,小红书安全响应中心(以下称“我们”)欢迎白帽子、安全研究员及广大用户向我们反馈产品及业务的安全漏洞,以帮助我们提升产品安全性。我们希望借助小红书安全响应中心作为平台,加强与安全各方的合作及交流。
2.对您提交的每一份报告,我们会指定专人跟进、分析和处理,并及时予以反馈。同时对每一位帮助发现小红书安全风险的白帽子,我们将给予以感谢和回馈。
3.小红书反对一切以安全测试为借口,利用安全漏洞损害用户利益的黑客行为,包括但不限于利用安全漏洞盗取或篡改用户隐私及虚拟财产、入侵业务系统、影响业务运作、窃取用户数据、恶意传播漏洞等违法行为的,我们将不予奖励,并保留进一步追究法律责任的权利。
4.未经授权任何人不得对外披露漏洞/情报细节(包括但不限于在第三方平台上存储、传播或讨论漏洞/情报详情),或利用漏洞获利。
5.您在“小红书安全响应中心”平台兑换奖励所产生的个税,将由平台统一承担。您应知悉平台为您代扣代缴的个税,属于综合所得的部分,将体现在个人所得税年度汇算中。
6.当您在“小红书安全响应中心”平台进行实物兑换时,为确保奖品顺利邮寄到您手中,平台将收集您的姓名、邮寄地址、联系方式等信息。这些信息是平台向您寄送奖励的必要信息,若您拒绝提供,平台将无法完成礼品发放。
7.当您在“小红书安全响应中心”平台兑换现金奖励时,我们需额外收集您的的银行卡信息(用于转账打款)及身份证号码(用于个税登记和扣缴)。若您拒绝提供,相关款项将无法完成支付。
8.若您使用我们的服务,或者以其他任何明示或者默示方式表示接受本协议的,均视为您已阅读并同意《小红书安全响应中心用户协议》:https://agree.xiaohongshu.com/h5/terms/ZXXY20230710002/-1
二 适用范围
适用于小红书所有开放在互联网的应用系统,包括但不限于*.xiaohongshu.com等。
注:
security.xiaohongshu.com 域名仅收取高危及以上漏洞
CDN域名多为用户上传使用,请勿对其进行扫描,CDN域名信息泄漏类漏洞暂不收取,包括但不限于:
qimg.xiaohongshu.com
picasso-static.xiaohongshu.com
*.xhscdn.com
*.xhscdn.net
以下系统因业务调整,暂不收取:
rl.xiaohongshu.com
eva.xiaohongshu.com
nebula.xiaohongshu.com
jingwei.xiaohongshu.com
情报类漏洞请参见:小红书安全响应中心业务情报定级标准V1.0
三 测试规范
1.禁止进行可能引起业务异常运行的测试,包括但不限于任何类型的网络拒绝服务测试(DoS或DDoS)等。
2.禁止进行内网渗透测试行为,例如:获取内网权限后在内网使用扫描器、或横向接触非对外开放系统目标、获取内网应用/主机权限/数据等。
3.禁止下载、保存、传播与业务相关的敏感数据,包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料、登陆凭证等,若存在不知情的下载行为,需及时说明和删除;测试过程中获取的相关代码/数据,务必在SRC漏洞确认后立即删除,不得非法留存及使用。
4.禁止进行近源攻击或者黑客物理入侵、社会工程学测试或邮件钓鱼等非技术漏洞测试,尤其是禁止使用社工库等非法手段获取用户密码。
5.测试越权漏洞时,读取的真实数据不能超过5组,严禁进行批量读取;涉及到线上业务的增删改操作时,请勿直接对正常用户数据做操作。
6.注入漏洞严禁读取表内数据,对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。SQL盲注类漏洞,严禁使用高数值的sleep等函数进行测试,请使用能证明漏洞存在的最小数值进行测试;涉及主站操作的,需提前向XHSSRC官方报备。
7.存储型XSS漏洞,应插入采用无害化测试,禁用弹窗(alert等),推荐使用console.log进行输出。蠕虫类漏洞测试必须严格测试传播范围,仅限测试账号,如无法确认测试范围,请提前向XHSSRC官方进行报备,获得批准后才能测试。盲打类XSS,仅允许携带域名基本信息进行测试。含有侵入性的XSS测试后必须清除测试的数据,如无法清除或无法确认插入点,需在漏洞报告内加以说明。
8.测试过程中若使用了非自己的账号(如小红书员工、商家账号),请在报告中主动告知,恶意隐瞒将有可能被收回漏洞奖励。
9.小红书员工不得参与或变相参与漏洞奖励计划, 如发现是小红书员工参与该活动,我们有权不给予奖励并收回已给予的奖励,同时封禁平台账号。
10.以安全测试为借口,利用安全漏洞进行损害用户利益、影响业务运作、盗取用户数据等违法行为的,我们将保留进一步追究法律责任的权利。
四 漏洞评级标准
【严重】
1.直接获取生产环境核心服务器权限的漏洞,包括但不限于上传Webshell、任意代码执行、远程命令执行等可以获取系统权限的漏洞。
2.严重的逻辑设计或流程缺陷,包括但不限于批量修改任意账号密码、任意金额支付/充值(需满足无利用限制,可提现)和可实际造成巨额经济损失的漏洞,小红书主账号任意劫持等。
3.严重的信息泄露漏洞,包括但不限于大量用户严重敏感身份信息泄露(证明可获取数据十万以上,且至少包含3个敏感字段:姓名/身份证、银行卡信息、手机号/邮箱、密码、地址)等。
【高危】
1.直接获取测试服务器权限的漏洞,包括但不限于上传Webshell、任意代码执行、远程命令执行等可以获取系统权限的漏洞。
2.敏感操作的越权、未授权访问,可获得大量敏感信息,包括但不限于绕过认证获取管理员权限、管理员弱口令等。
3.可访问小红书内网且有完整回显的无限制的SSRF漏洞。
4.实际可利用(需证明可获取数据库名或者当前用户名)的SQL注入漏洞。
5.核心系统可自动传播的存储型XSS漏洞。
6.涉及金额的逻辑设计或流程缺陷,包括但不限于任意金额支付/充值、修改任意账号密码等。
7.其它可造成大范围用户敏感身份信息泄露的漏洞(至少包含3个敏感字段:姓名/身份证、银行卡信息、手机号/邮箱、密码、地址)等。
8.无需交互的客户端本地任意文件读写、本地代码执行等漏洞。
9.造成客户端本地敏感信息泄露的漏洞,包括但不限于越权、命令执行的利用。
【中危】
1.一般操作的越权、未授权访问,包括但不限于越权修改个人资料、越权取消/删除订单
2.无完整回显或有限制的SSRF漏洞
3.无法获取数据库或者当前用户名的SQL注入漏洞
4.需要交互后才能获取用户敏感信息的漏洞,包括但不限于需要用户点击的WebView组件漏洞/deeplink
5.具有实际危害的存储型XSS漏洞
6.可造成一定危害的逻辑漏洞等
【低危】
1.影响较小的越权、未授权操作,包括但不限于越权收藏商品、越权添加购物车等。
2.无回显的SSRF漏洞
3.可造成一定危害的反射及DOM型XSS漏洞,不包含Self型XSS
4.含敏感信息的JSONP劫持
5.危害有限的信息泄漏
6.包括但不限于任意手机号无限制的短信轰炸(不包含横向短信轰炸)
7.客户端Dll Hijacking及同类型漏洞
8.无法被进一步利用的host碰撞等
9.包含敏感信息企业内部非公开文档泄露
【无】
1.CSRF漏洞。
2.无实际危害的信息泄漏,包括但不限于无法利用的swagger/druid和无敏感信息的actuator/Prometheus端点开放、网站路径泄露、内网数据库密码、pprof泄露、内网IP泄漏、js.map泄漏、无意义的源代码泄露、系统/组件版本号泄露等。
3.其它无法实际利用的漏洞,包括但不限于基本版本策略的扫描器输出报告、用户名枚举、HTTP明文传输、无意义的CORS劫持漏洞、401基础认证钓鱼、参数无法遍历的越权/未授权访问、HTML注入、无法解析的任意文件上传、无利用价值的Crash等。
4.无实际生产环境信息的未授权访问/权限绕过
5.pdf xss/self xss漏洞暂不收取
6.并发导致的短信轰炸、邮箱轰炸等,且后端有风控限制、速率控制等机制
7.运营预期之内或无法造成资金损失的问题、符合业务预期的产品设计,包括但不限于可使用多个账号领取小额奖励的正常业务活动。
8.无实际安全问题的BUG
9.相关组件Nday漏洞,小红书已知的,暂不做接收
10.其他轻微漏洞(包括但不限于URL任意跳转、客户端本地拒绝服务、邮件轰炸)
补充说明
1.涉及以下场景,漏洞会做降级处理:
a.越权及未授权访问等漏洞,请求所涉及的参数无法简单遍历,如id为超长位的数字;
b.利用门槛过高,包括但不限于6位验证码短时间爆破等;
c.实际危害有限,如log4j2远程代码执行漏洞只能通过dnslog外带信息,无法执行命令,定为中危;
d.需要用户交互的,如客户端one-click远程代码执行
e.需通过非默认配置/替换资源文件触发的客户端漏洞
f.影响范围小,如某些系统用户只有几十个、旧系统/测试系统仅有少量测试数据
2.同一个漏洞源产生的多个漏洞计算为一个漏洞,包括但不限于同一个JS引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、同一个功能处的相似漏洞(如收货地址处的越权修改、查询、删除)等。
3.同一个系统短时间内发现了大量同类型漏洞(如SQL注入、越权、未授权等),默认只收取前三个,后续提交将忽略处理。
4.多个漏洞报告若存在前后关联的,如通过弱口令进入管理后台发现SQL注入、XSS等,将视为一个漏洞,并以其中危害最高的漏洞定级。
5.针对突发的0day漏洞,若无特殊说明,内部应急处理完之前仅收取第一个漏洞。
6.对于由使用第三方SDK或库导致的的客户端漏洞,且能够通过升级或替换第三方SDK或库解决的漏洞,仅收取第一个报告的漏洞。但若在三个月后仍存在该漏洞(以首个报告收取日为起始时间),可再次反馈提交。
7.不接收间接危害或猜测危害,实际危害由审核与业务确认,实际危害有限的漏洞进行降级处理。
8.内部已知漏洞做忽略处理,包括但不限于内部安全人员已经发现的漏洞、内部专项处理类漏洞、已有其他白帽子优先提交的漏洞。
五 漏洞奖励标准
小红书安全响应中心将结合利用场景中漏洞的危害程度、业务重要程度等综合因素给予相应金币和贡献值。
应用等级 | 业务范围 |
核心应用 | 小红书APP及Web端 |
一般应用 | to B/C的主营业务:小红书商家后台(ark)APP及Web端、聚光平台(ad)、蒲公英(pgy)、专业号(pro)、创作服务平台(creator)、商家入驻系统(gaia)、直播管理平台(redlive)Web及桌面客户端 内部核心系统:OA、邮箱、SSO、CRM等其它重要管理系统 |
边缘应用 | to B/C的非主营业务及内部其它系统 |
1.安全币奖励对应表(注:1安全币=1RMB,均为税后)
漏洞等级 | 边缘应用 | 一般应用 | 核心应用 |
低危漏洞 | 50-70 | 80-120 | 150-250 |
中危漏洞 | 300-500 | 500-700 | 800-1200 |
高危漏洞 | 750-1250 | 1500-2000 | 2000-3000 |
严重漏洞 | 1500-2500 | 2500-3500 | 4000-6000 |
2.贡献值对应表
积分 * 对应系数 = 贡献值
危害等级 | 对应积分 | 贡献系数 | ||
边缘应用 | 一般应用 | 核心应用 | ||
低危 | 1-3 | 1 | 2 | 3 |
中危 | 4-6 | 5 | 11 | 17 |
高危 | 7-9 | 16 | 33 | 50 |
严重 | 10-12 | 33 | 66 | 100 |
六 常见问题
1.关于争议漏洞的处理
尊敬的白帽们如果在对漏洞提交的过程中有所疑问或者争议,可通过小红书安全响应中心微信公众号或向官方邮箱 security@xiaohongshu.com 发送电子邮件来向我们进行反馈,我们将根据漏洞报告者利益优先的原则进行恰当而有效的处理。
2.现金与实物奖励兑换
基本信息:如兑换礼品为现金奖励,为了确保您能如期收到奖励,需在小红书SRC中个人中心-我的个人信息-财务信息中补充个人财务信息。如兑换礼品为实物礼品,需要小红书SRC中个人中心-我的个人信息补充收货地址。兑换时请确认个人身份信息、财务信息准确,如因个人信息缺失/填写错误的导致的发放问题,由白帽子自行承担损失。
提现须知:奖励发放时间为每月的20号左右(节假日顺延),当月发放SRC平台上月完成兑换的奖励,如为首次兑换现金,须在奖励发放日前后收到签约短信后完成后续提现签约流程(https://security.xiaohongshu.com/index.php?m=&c=page&a=view&id=10)。
3.漏洞被忽略/忽略的漏洞被修复
小红书SRC秉承公平、透明的原则,所有被忽略的漏洞都会给出合理的对应忽略理由;如出现非重复的漏洞忽略后被修复,很有可能是由于业务本身产生的变动导致”漏洞“不存在或业务方认定该提交信息为 bug/feature 而非 vulnerability。但是不论如何,小红书都不会”偷偷修复漏洞“。
本标准所有内容最终解释权归小红书安全响应中心所有。如您对本标准有任何的建议,欢迎通过小红书安全响应中心微信公众号或向官方邮箱 security@xiaohongshu.com 方式向我们反馈。
