版本更新信息：

小红书安全响应中心漏洞报告处置规则V2.1

一 基本原则

小红书非常重视产品和业务的安全问题，小红书安全响应中心（以下称“我们”）欢迎白帽子、安全研究员及广大用户向我们反馈产品及业务的安全漏洞，以帮助我们提升产品安全性。我们希望借助小红书安全响应中心作为平台，加强与安全各方的合作及交流。

对您提交的每一份报告，我们会指定专人跟进、分析和处理，并及时予以反馈。同时对每一位帮助发现小红书安全风险的白帽子，我们将给予以感谢和回馈。

小红书反对一切以安全测试为借口，利用安全漏洞损害用户利益的黑客行为，包括但不限于利用安全漏洞盗取或篡改用户隐私及虚拟财产、入侵业务系统、影响业务运作、窃取用户数据、恶意传播漏洞等违法行为的，我们将不予奖励，并保留进一步追究法律责任的权利。

未经授权任何人不得对外披露漏洞/情报细节（包括但不限于在第三方平台上存储、传播或讨论漏洞/情报详情），或利用漏洞获利。

您在“小红书安全响应中心”平台兑换奖励所产生的个税，将由平台统一承担。您应知悉平台为您代扣代缴的个税，属于综合所得的部分，将体现在个人所得税年度汇算中。

当您在“小红书安全响应中心”平台进行实物兑换时，为确保奖品顺利邮寄到您手中，平台将收集您的姓名、邮寄地址、联系方式等信息。这些信息是平台向您寄送奖励的必要信息，若您拒绝提供，平台将无法完成礼品发放。

当您在“小红书安全响应中心”平台兑换现金奖励时，我们需额外收集您的的银行卡信息（用于转账打款）及身份证号码（用于个税登记和扣缴）。若您拒绝提供，相关款项将无法完成支付。

若您使用我们的服务，或者以其他任何明示或者默示方式表示接受本协议的，均视为您已阅读并同意《小红书安全响应中心用户协议》：https://agree.xiaohongshu.com/h5/terms/ZXXY20230710002/-1

二 适用范围

适用于小红书所有开放在互联网的应用系统，包括但不限于*.xiaohongshu.com等。

注：

security.xiaohongshu.com 域名仅收取高危及以上漏洞

CDN域名多为用户上传使用，请勿对其进行扫描，CDN域名信息泄漏类漏洞暂不收取，包括但不限于：

qimg.xiaohongshu.com

picasso-static.xiaohongshu.com

*.xhscdn.com

*.xhscdn.net

以下系统因业务调整，暂不收取：

rl.xiaohongshu.com

eva.xiaohongshu.com

nebula.xiaohongshu.com

jingwei.xiaohongshu.com

情报类漏洞请参见：小红书安全响应中心业务情报定级标准V1.0

隐私合规类漏洞请参见：小红书安全响应中心隐私漏洞报告评分规则V1.1

三 测试规范

1.禁止进行可能引起业务异常运行的测试，包括但不限于任何类型的网络拒绝服务测试（DoS或DDoS）等。

2.禁止进行内网渗透测试行为，例如：获取内网权限后在内网使用扫描器、或横向接触非对外开放系统目标、获取内网应用/主机权限/数据等。

3.禁止下载、保存、传播与业务相关的敏感数据，包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料、登陆凭证等，若存在不知情的下载行为，需及时说明和删除；测试过程中获取的相关代码/数据，务必在SRC漏洞确认后立即删除，不得非法留存及使用。

4.禁止进行近源攻击或者黑客物理入侵、社会工程学测试或邮件钓鱼等非技术漏洞测试，尤其是禁止使用社工库等非法手段获取用户密码。

5.测试越权漏洞时，读取的真实数据不能超过5组，严禁进行批量读取；涉及到线上业务的增删改操作时，请勿直接对正常用户数据做操作。

6.注入漏洞严禁读取表内数据，对于UPDATE、DELETE、INSERT 等注入类型，不允许使用自动化工具进行测试。SQL盲注类漏洞，严禁使用高数值的sleep等函数进行测试，请使用能证明漏洞存在的最小数值进行测试；涉及主站操作的，需提前向XHSSRC官方报备。

7.存储型XSS漏洞，应插入采用无害化测试，禁用弹窗(alert等)，推荐使用console.log进行输出。蠕虫类漏洞测试必须严格测试传播范围，仅限测试账号，如无法确认测试范围，请提前向XHSSRC官方进行报备，获得批准后才能测试。盲打类XSS，仅允许携带域名基本信息进行测试。含有侵入性的XSS测试后必须清除测试的数据，如无法清除或无法确认插入点，需在漏洞报告内加以说明。

8.测试过程中若使用了非自己的账号（如小红书员工、商家账号），请在报告中主动告知，恶意隐瞒将有可能被收回漏洞奖励。

9.小红书员工不得参与或变相参与漏洞奖励计划， 如发现是小红书员工参与该活动，我们有权不给予奖励并收回已给予的奖励，同时封禁平台账号。

10.以安全测试为借口，利用安全漏洞进行损害用户利益、影响业务运作、盗取用户数据等违法行为的，我们将保留进一步追究法律责任的权利。

四 漏洞评级标准

【严重】

1.直接获取生产环境核心服务器权限的漏洞，包括但不限于上传Webshell、任意代码执行、远程命令执行等可以获取系统权限的漏洞。

2.严重的逻辑设计或流程缺陷，包括但不限于批量修改任意账号密码、任意金额支付/充值（需满足无利用限制，可提现）和可实际造成巨额经济损失的漏洞，小红书主账号任意劫持等。

3.严重的信息泄露漏洞，包括但不限于大量用户严重敏感身份信息泄露（证明可获取数据十万以上，且至少包含3个敏感字段：姓名/身份证、银行卡信息、手机号/邮箱、密码、地址）等。

【高危】

1.直接获取测试服务器权限的漏洞，包括但不限于上传Webshell、任意代码执行、远程命令执行等可以获取系统权限的漏洞。

2.敏感操作的越权、未授权访问，可获得大量敏感信息，包括但不限于绕过认证获取管理员权限、管理员弱口令等。

3.可访问小红书内网且有完整回显的无限制的SSRF漏洞。

4.实际可利用（需证明可获取数据库名或者当前用户名）的SQL注入漏洞。

5.核心系统可自动传播的存储型XSS漏洞。

6.涉及金额的逻辑设计或流程缺陷，包括但不限于任意金额支付/充值、修改任意账号密码等。

7.其它可造成大范围用户敏感身份信息泄露的漏洞（至少包含3个敏感字段：姓名/身份证、银行卡信息、手机号/邮箱、密码、地址）等。

8.无需交互的客户端本地任意文件读写、本地代码执行等漏洞。

9.造成客户端本地敏感信息泄露的漏洞，包括但不限于越权、命令执行的利用。

【中危】

1.一般操作的越权、未授权访问，包括但不限于越权修改个人资料、越权取消/删除订单

2.无完整回显或有限制的SSRF漏洞

3.无法获取数据库或者当前用户名的SQL注入漏洞

4.需要交互后才能获取用户敏感信息的漏洞，包括但不限于需要用户点击的WebView组件漏洞/deeplink

5.具有实际危害的存储型XSS漏洞

6.可造成一定危害的逻辑漏洞等

【低危】

1.影响较小的越权、未授权操作，包括但不限于越权收藏商品、越权添加购物车等。

2.无回显的SSRF漏洞

3.可造成一定危害的反射及DOM型XSS漏洞，不包含Self型XSS

4.含敏感信息的JSONP劫持

5.危害有限的信息泄漏

6.包括但不限于任意手机号无限制的短信轰炸（不包含横向短信轰炸）

7.客户端Dll Hijacking及同类型漏洞

8.无法被进一步利用的host碰撞等

9.包含敏感信息企业内部非公开文档泄露

10.任意url跳转漏洞

【无】

1.CSRF漏洞

2.无实际危害的信息泄漏，包括但不限于无法利用的swagger/druid和无敏感信息的actuator/Prometheus端点开放、网站路径泄露、内网数据库密码、pprof泄露、内网IP泄漏、js.map泄漏、无意义的源代码泄露、系统/组件版本号泄露、任意图片上传等。

3.其它无法实际利用的漏洞，包括但不限于基本版本策略的扫描器输出报告、用户名枚举、HTTP明文传输、无意义的CORS劫持漏洞、401基础认证钓鱼、参数无法遍历的越权/未授权访问、HTML注入、无法解析的任意文件上传、无利用价值的Crash等。

4.无实际生产环境信息的未授权访问/权限绕过

5.pdf xss/self xss漏洞暂不收取

6.并发导致的短信轰炸、邮箱轰炸等，且后端有风控限制、速率控制等机制

7.运营预期之内或无法造成资金损失的问题、符合业务预期的产品设计，包括但不限于可使用多个账号领取小额奖励的正常业务活动。

8.不涉及安全问题的 Bug，包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性、复杂交互的URL重定向、账户枚举等问题。

9.相关组件Nday漏洞，小红书已知的，暂不做接收

10.其他轻微漏洞(包括但不限于需要交互的URL任意跳转、客户端本地拒绝服务、邮件轰炸)

补充说明

1.涉及以下场景，漏洞会做降级处理：

2.越权及未授权访问等漏洞，请求所涉及的参数无法简单遍历，如id为超长位的数字；

3.利用门槛过高，包括但不限于6位验证码短时间爆破等；

4.实际危害有限，如log4j2远程代码执行漏洞只能通过dnslog外带信息，无法执行命令，定为中危；

5.需要用户交互的，如客户端one-click远程代码执行

6.需通过非默认配置/替换资源文件触发的客户端漏洞

7.影响范围小，如某些系统用户只有几十个、旧系统/测试系统仅有少量测试数据

8.需要多次交互的click hijacking

9.同一个漏洞源产生的多个漏洞计算为一个漏洞，包括但不限于同一个JS引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、同一个功能处的相似漏洞（如收货地址处的越权修改、查询、删除）等。

10.同一个系统短时间内发现了大量同类型漏洞（如SQL注入、越权、未授权等），默认只收取前三个，后续提交将忽略处理

11.多个漏洞报告若存在前后关联的，如通过弱口令进入管理后台发现SQL注入、XSS等，将视为一个漏洞，并以其中危害最高的漏洞定级。

12.针对突发的0day漏洞，若无特殊说明，内部应急处理完之前仅收取第一个漏洞。

13.对于由使用第三方SDK或库导致的的客户端漏洞，且能够通过升级或替换第三方SDK或库解决的漏洞，仅收取第一个报告的漏洞。但若在三个月后仍存在该漏洞（以首个报告收取日为起始时间），可再次反馈提交。

14.不接收间接危害或猜测危害，实际危害由审核与业务确认，实际危害有限的漏洞进行降级处理。

15.xss需证明非self xss，可通过获取其他用户浏览器特征信息进行证明；暂不接收无法证明其他用户可触发的xss

16.内部已知漏洞做忽略处理，包括但不限于内部安全人员已经发现的漏洞、内部专项处理类漏洞、已有其他白帽子优先提交的漏洞。

17.外采系统只接收高危严重漏洞，外采系统的范畴由小红书安全响应中心做出界定，包括但不限于第三方研发的报表、小程序等；如果外采系统在短时期内被反馈存在多个安全问题，将进行集中整改，整改期间，暂停对该资产的漏洞接收。

五 漏洞奖励标准

小红书安全响应中心将结合利用场景中漏洞的危害程度、业务重要程度等综合因素给予相应金币和贡献值。

安全币奖励对应表（注：1安全币=1RMB，均为税后）

贡献值对应表

积分 * 对应系数 = 贡献值

六 常见问题

1.关于争议漏洞的处理

尊敬的白帽们如果在对漏洞提交的过程中有所疑问或者争议，可通过小红书安全响应中心微信公众号或向官方邮箱 security@xiaohongshu.com 发送电子邮件来向我们进行反馈，我们将根据漏洞报告者利益优先的原则进行恰当而有效的处理。

2.现金与实物奖励兑换

基本信息：如兑换礼品为现金奖励，为了确保您能如期收到奖励，需在小红书SRC中个人中心-我的个人信息-财务信息中补充个人财务信息。如兑换礼品为实物礼品，需要小红书SRC中个人中心-我的个人信息补充收货地址。兑换时请确认个人身份信息、财务信息准确，如因个人信息缺失/填写错误的导致的发放问题，由白帽子自行承担损失。

提现须知：奖励发放时间为每月的20号左右(节假日顺延)，当月发放SRC平台上月完成兑换的奖励，如为首次兑换现金，须在奖励发放日前后收到签约短信后完成后续提现签约流程（https://security.xiaohongshu.com/index.php?m=&c=page&a=view&id=10）。

3.漏洞被忽略/忽略的漏洞被修复

小红书SRC秉承公平、透明的原则，所有被忽略的漏洞都会给出合理的对应忽略理由；如出现非重复的漏洞忽略后被修复，很有可能是由于业务本身产生的变动导致”漏洞“不存在或业务方认定该提交信息为 bug/feature 而非 vulnerability。但是不论如何，小红书都不会”偷偷修复漏洞“。

本标准所有内容最终解释权归小红书安全响应中心所有。如您对本标准有任何的建议，欢迎通过小红书安全响应中心微信公众号或向官方邮箱 security@xiaohongshu.com 方式向我们反馈。