携程安全应急响应中心

CSRC安全威胁计划(试行)启动公告

公告编号:CSRC-2015-0013

公告来源:CSRC

发布日期:2015-11-03


           

携程安全应急响应中心(CSRC)威胁情报奖励计划(试行)启动公告

 

即日起,CSRC在原有的“安全漏洞奖励计划”的基础上新增“威胁情报奖励计划”,该项目意在收集携程网及其合作伙伴(鸿鹄旅游、铁友)网站安全漏洞外存在的相关安全威胁

 

威胁范围携程、鸿鹄旅游、铁友的产品和业务漏洞相关的安全情报,包括但不限于漏洞线索、流程脆弱性、攻击方式、攻击者信息等

 

【响应流程】用户通过CSRC提交威胁情报信息,我方将在一个工作日内对提交信息做出响应,由于安全威胁涉及面广、所涉及的内容可能复杂,确认时间长,我方将竭力尽快对所反映问题进行确认

 

【威胁情报评分标准】

 

Ctrip应用系统重要性分级标准

1、核心应用:用户和支付类等基础业务、机票、酒店、旅游、礼品卡、邮轮,评分:10

2、一般应用:火车票、汽车票、用车、门票、团购、攻略、全球购、商旅,评分:7

3、边缘应用:积分商城、合作卡、订餐、鸿鹄旅游、铁友、艺龙、去哪儿、智行火车票,评分:5

系统重要性/漏洞严重性

严重100-300

高危(30-80)

中危(10-25)

低危(1-10)

核心应用(10)

1000-3000

300-800

100-250

10-100

一般应用(7)

700-2100

210-560

70-175

7-70

边缘应用(5)

500-1500

150-400

50-125

5-50

 

携程币对应表携程币的=系统重要性*漏洞严重性

评分级别

线索范围

示例

严重

服务器被入侵且提供了入侵行为方式等相关线索

业务服务器被入侵且提供了相关行为特征方便快速定位确认问题点

公司最近一个月内的重要业务敏感信息泄漏的相关线索

证明最近一个月内携程网客户、订单信息批量泄漏,提供被脱库的详细信息,可快速定位确认问题点

重大金融逻辑漏洞线索

支付类严重的逻辑漏洞

高危

业务存在严重逻辑缺陷导致业务不能正常进行的线索

绕过认证可以批量提交恶意订单的

网站价格被恶意篡改影响当前业务的线索

网站旅游价格被恶意篡改,出现“1元”旅游的相关证明

中危

公司业务存在严重脆弱性环节的漏洞

通过致电携程客服,利用客服人员安全意识薄弱可以成功套取用户相关信息的相关证明

低危

发现针对携程的假冒或者钓鱼网站等

提供假冒或者钓鱼网站有效链接

 

【威胁情报认定原则】

1)通用型漏洞、同一安全隐患引起的多个问题计数为一个

2)业界暂时无法彻底解决的业务威胁问题暂时不计分(如羊毛党带来的业务威胁)

3)对于第三方问题导致的安全威胁,我方无法修复的暂时不计分(如航空公司客户信息泄漏造成的携程用户被欺诈)

4)被重复提交的同一问题,认定第一个报告者为有效报告者

5)提交网上已公开的威胁情报不计分

6)以安全测试为借口,利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的,将不计分,同时携程保留采取追究法律责任的权利

 

推荐文章: CSRC双倍积分活动   阅读量:6602