用户协议

本用户协议(以下称为“本协议”)是上海携程商务有限公司(以下简称“我们”)与登陆、使用携程旅行网安全应急响应中心(Ctrip Security Response Center,CSRC)用户(以下称为“您“)签订的具有约束力的法律文书。

在成为CSRC用户前,请您务必仔细阅读并透彻理解本协议。如对本协议内容有任何疑问,您可向CSRC进行咨询。 如果您不同意本协议或其中任何内容,您应立即停止使用CSRC网站。如果您选择“同意”并继续使用、登陆、浏览CSRC网站(以下简称“本网站”),您的使用行为将被视为对本协议全部内容的认可。

您承诺遵守中华人民共和国法律、法规、规章及其他政府规范性文件的规定,如有违反而造成任何法律后果,您将独立承担所有相应的法律责任。

一、漏洞提交

1.1 通过CSRC平台收集的漏洞是您以研究为目的测试携程旅行网漏洞过程中发现的漏洞。

1.2 在您同意遵守CSRC公告的漏洞收集规则的前提下,我们授权您在不影响被测试、评估系统正常运行、不危害系统及平台用户隐私、数据安全的情况下,以测试和评估系统安全性为目的收集漏洞。

1.3 对于您向CSRC提交的漏洞,您需要保证研究漏洞的方法、方式、工具及手段的合法性,CSRC对此不承担任何法律责任。

1.4 您同意必须基于诚信原则提交漏洞信息,并确保您是依据您自身所拥有的知识和技能,通过合法正当的方式和途径发现该漏洞信息的存在,您保证您所提交的漏洞信息所包含的全部权利为合法。

1.5 您不得为任何非法目的而使用漏洞及漏洞提供的相关信息和CSRC网站的信息,具体地,您不得从事以下活动:

未经允许,对侵入计算机信息网络、干扰网络正常功能、窃取网络数据等;

未经允许,对计算机信息网络功能进行删除、修改或者增加的;

未经允许,对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;

提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具的;

提供技术支持、广告推广、支付结算等帮助危害网络安全的;

其他危害计算机信息网络安全的行为。

如您违反上述行为,我们有权采取注销您的账户等措施,如因您上述行为给我们造成损失的,您应予赔偿。

二、用户守则

2.1 您保证不会利用技术或其他手段破坏、扰乱CSRC网站及影响其他用户使用CSRC网站。

2.2 您应尊重CSRC网站相关知识产权和其他合法权利,并保证在发生侵犯上述权益的违法事件时尽力保护权利所有人免于因该等事件受到影响或损失。

2.3 您使用CSRC网站时将遵从中华人民共和国国家、地方法律法规、行业惯例和社会公共道德,不会利用CSRC网站及相关服务进行存储、发布、传播如下信息和内容:

违反中华人民共和国国家法律法规政策的任何内容(信息);

违反中华人民共和国国家规定的政治宣传或新闻信息;

涉及中华人民共和国国家秘密或安全的信息;

封建迷信或淫秽、色情、下流的信息或教唆犯罪的信息;

博彩有奖、赌博游戏;

违反中华人民共和国国家民族和宗教政策的信息;

妨碍互联网运行安全的信息;

侵害他人合法权益的信息或其他有损于社会秩序、社会治安、公共道德的信息或内容。

2.4 您同时承诺不得为他人发布上述不符合中华人民共和国国家规定或本协议条款约定的信息内容提供任何便利,包括但不限于设置URL链接等。

三、责任范围及责任限制

3.1 我们仅对本协议条款中列明的责任承担范围负责。

3.2 在法律允许的情况下,我们对于与本协议条款有关或由本协议条款引起的任何间接的、惩罚性的损失,不论是如何产生的,也不论是由对本协议条款的违约、还是由侵权造成的,均不负有任何责任,即使事先已被告知此等损失的可能性。

四、商标和知识产权的保护

4.1 除第三方产品或服务外,CSRC本网站上所有内容,包括但不限于著作、图片、资讯、架构、页面设计等相关知识产权(包括但不限于商标权、专利权、著作权、商业秘密等),均为我们或我们的关联公司所有。

4.2 非经我们或我们的关联公司实现书面同意,您不得擅自使用、修改、复制、公开传播、改变、散布、发行或公开发表对应的知识产权。如侵犯知识产权,您应承担损害赔偿责任。

五、个人隐私保护

5.1 我们非常重视保护您的本网站账号及密码、通讯地址等个人信息,未经您同意,我们不会将其披露给无关的第三方,更不会将其公之于众,但因下列原因而披露给第三方的除外:

基于中华人民共和国国家法律法规的规定而对外披露;

应中华人民共和国国家司法机关及其他有关机关基于法定程序的要求而披露;

在紧急情况,为保护其他用户及第三方人身安全而披露;

经您本人同意或应您的要求而披露。

5.2 我们将使用各种安全技术和程序防止您及其他用户个人信息的丢失、不当使用、未经授权阅览或披露。但您充分理解到:由于技术的限制以及可能存在的各种恶意手段,在互联网行业,即便竭尽所能加强安全措施,也不可能始终保证信息百分之百的安全。

六、通知送达与变更

6.1 您理解并同意,我们可依据自行判断,通过网页公告、您提供的电子邮件或手机等通讯方式向您发出通知;上述通知于发送之日视为送达。

6.2 您同意,我们有权对本协议的内容进行变更,并以消息或邮件、网页公告等方式予以通知;若您在本协议内容公告变更后继续使用CSRC网站的,表示您已充分阅读、理解并接受修改后的内容,也将遵循修改后的条款内容;若您不同意修改后的协议,您应立即停止使用、登陆、浏览CSRC网站。

七、法律适用与管辖

7.1本协议条款由本协议条款与本网站公示的各项规则组成,特别是关于漏洞收集的规则。本协议条款部分内容被有管辖权的法院认定为违法的,不因此影响其他内容的效力。

7.2本协议条款之效力、解释、变更、执行与争议解决均适用中华人民共和国法律。因本协议条款产生之争议,均应依照中华人民共和国法律予以处理,并提交上海市长宁区人民法院审判。

八、其他

8.1 在您完成注册程序或以其他允许的操作时,您确认您是具备完全民事权利能力和完全民事行为能力的自然人、法人或其他组织(以下统称为“法律主体”)。

8.2 您有责任妥善保管用于登陆本网站服务的用户名、登录密码或验证码等信息保密。您确认,登录后的一切行为均代表您本人意志,并由您本人承担相应的法律后果。

8.3 您了解并同意,必要时我们可能要求您完成账户的实名认证;同时,可能要求您提供更多的身份资料和信息,做进一步的身份认证或资格验证。

8.4 您应当准确填写并及时更新您的联系信息(例如,电子邮件地址、联系电话、联系地址等联系信息),以便我们与您进行有效联系,因通过这些联系方式无法与您取得联系,导致您所产生任何损失或后果的,由您全部承担。

8.5 您理解并同意,我们有权按照中华人民共和国国家司法、行政、安全等机关的要求对个人信息等进行查询、披露。

8.6 我们保留在您违反中华人民共和国国家、地方法律法规规定或违反本协议条款的情况下,中止、终止、注销您在CSRC登陆的权利。您同意并授权我们,如您在CSRC网站有欺诈、侵犯他人合法权益或其他严重违法行为,您的账户信息可能被注销。

English 您好,请 登录

CSRC 安全漏洞评分标准 V6.0

公告编号:CSRC-2020-1114

公告来源:CSRC

发布日期:2020-11-13





携程应急响应中心(CSRC)安全漏洞评分标准

 

新版安全漏洞评分标准生效日期:2020年11月14日

 

 

一、   安全漏洞评分标准

Ø  携程根据漏洞的危害程度将漏洞等级分为、【高】、【中】、【低】、【无】四个等级;应用系统重要性分级为:核心应用、一般应用、边缘应用、合作公司。

Ø  每个漏洞所得携程币=系统重要性系数*漏洞严重性系数。CSRC采用携程币作为货币单位,1携程币=1RMB。

Ø  安全漏洞最终评分会根据具体漏洞类型、业务重要性评定。对应表如下:

系统重要性*漏洞严重性

高危漏洞

(100-500)

中危漏洞

(30-100)

低危漏洞

(10-30)

核心应用

(10)

1000-5000

300-1000

100-300

一般应用

(5)

500-2500

150-500

50-150

边缘应用

(1)

100-500

30-100

10-30

合作公司

(0.5)

50-250

15-50

5-15

 

二、   携程应用系统重要性分级标准

1、  核心应用(系数10):*.ctrip.com和*.trip.com 主页面的入口(包括会员资金交易)以及程付通*.occpay.com相关支付业务,主页面入口如下截图。


2、  一般应用(系数5):除核心应用外,是*.ctrip.com和*.trip.com域名,且具有业务属性或业务用户数据相关的应用。

3、  边缘应用(系数1):属于携程应用,域名不限,且非业务属性和非业务用户数据相关的应用。

4、  合作公司(系数0.5):如永安等。

说明:业务属性:携程系统服务对象属于外部用户,包括to B或to C;服务于携程集团员工或关联公司的系统属于非业务属性。

域名举例如下 


三、   漏洞类型评级标准:

 

【高危】本等级包括,系数:100-500

1、直接获取系统权限的漏洞。包括但不仅限于命令执行、代码执行、获取Webshell、SQL注入获取系统权限、缓冲区溢出。

2、直接导致业务拒绝服务的漏洞。包括但不仅限于利用漏洞或业务逻辑漏洞直接导致系统业务不可用。

3、严重的敏感信息泄漏。包括但不仅限于:

1)重要DB(资金、用户身份、订单) 的 SQL 注入引起的敏感信息泄露
2)可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露
3)遍历导致大量敏感信息泄露
4)可造成大量源代码泄漏的漏洞
5)硬编码密码等问题引起的敏感信息泄露
6)绕过认证直接访问管理后台(非供应商后台,而是管理员平台)、管理后台弱密码、获取大量内网敏感信息。

4、严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。

5、严重的越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改等较为重要的越权行为。

6、直接获取移动客户端权限。包括但不仅限于远程命令执行、任意代码执行。

7、大范围影响用户信息或资金方面的其他漏洞。

 

【中危】本等级包括,系数30-100

1、需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS,存储型XSS请证明可获取核心cookie等敏感信息以及payload的注入点。

2、普通遍历越权操作。包括但不仅限于不正确的直接对象引用、越权查看订单信息、越权查看用户身份信息等。

3、普通信息泄漏。包括但不仅限于客户端明文存储密码、系统路径遍历、GitHub或者百度网盘等外部托管平台上面非生产项目或者其他信息泄露,可能会根据泄露信息对携程的影响做降级处理。

4、不涉及资金、订单和用户敏感信息等普通的逻辑设计缺陷和流程缺陷。


 

【低危】本等级包括,系数10-30

1、轻微信息泄漏。包括但不仅限于phpinfo信息泄露、路径信息泄漏、SVN信息泄漏、异常信息泄露,以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息、异常信息等。

2、难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点。

3、可导致资源滥用或造成对用户骚扰的漏洞。包括但不仅限于邮箱或短信轰炸。

4、供应商后台弱口令或者是权限管控问题导致的用户敏感信息泄露,可能会根据泄露信息对携程的影响做升级处理。

5、暴力破解漏洞。

 

【无】本等级包括:

1、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。

2、无法利用的漏洞。无敏感操作的 CSRF(收藏、取消收藏、一般的资料修改等)、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。

3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。

4、反射型XSS。

5、URL跳转。

6、普通帐户弱口令。

7、单纯的接口文档泄露,而不能进一步利用的漏洞。

8、以下为对外演示站点,不收取相关漏洞:

  https://standard.ctrip.com

  https://corpgov.ctrip.com

  等类似站点



 

额外奖励:

1、漏洞影响系统在以上范围之外可计算额外奖励,视具体情况而定。
2、漏洞所涉及系统为核心应用并且漏洞等级为高危及以上可计算额外奖励,视具体情况而定,范围在2000-10000之间。

 

四、   评分标准通用原则:

1、评币标准仅针对携程产品和业务。域名包括但不限于*.ctrip.com,服务器包括携程运营的服务器,产品为携程发布的客户端产品(APP)。与携程完全无关的漏洞,不计币;

2、现阶段对于非携程直接发布的产品和业务,如携程的投资公司、合资公司、合作区业务,不能保证能按照预定时间处理;

3、通用型漏洞(如同一个漏洞源产生的多个漏洞)一般计漏洞数量为一个。例如同一个 JS 引起的多个 XSS 漏洞、同一个发布系统引起的多个页面的 XSS 漏洞、框架导致的整站 XSS/CSRF 漏洞、泛域名解析产生的多个 XSS 漏洞等;
通用型漏洞视漏洞严重性定级,第一位提交者得分,后面提交者不得分。

4、同一个漏洞,第一个报告者得币,其他报告者不得币;提交网上已公开的漏洞不计币;

5、以漏洞测试为借口,利用漏洞进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的,将不会计分,同时携程保留采取进一步法律行动的权利。

6、漏洞描述请尽量详细,对于描述过于简单的漏洞,会适当降级或者忽略处理。(比如暴力破解漏洞,漏洞描述只有一个登陆页面)。

7、如果同一个系统中短时间发现了大量的同类型漏洞(如SQL注入、命令执行、XSS等),则可能判定该系统几乎没有做任何防护,正常审核前三个该类型漏洞,其他同系统同类型漏洞均不再收取。


 

五、   提交CSRC平台漏洞报告说明

【标题】漏洞影响域名和范围、涉及参数、漏洞类型等。

【漏洞描述】包含漏洞涉及的url、参数、应用版本等。

【测试账号】及测试时间。

【漏洞证明】提供POC;漏洞影响说明和漏洞利用证明,一般以截图形式提供。

【复现方法】按照逻辑对漏洞复现顺序进行描述,若使用工具复现漏洞,应提供工具名称。

【修复方案】提供至少一条可执行的修复建议,可以提供代码级的修复建议,也可以提供防护策略。

【联系方式】提供联系方式,方便漏洞确认。

 

六、   争议解决办法

在漏洞处理过程中,如果报告者对处理流程、漏洞评定、漏洞评分等具有异议的,请联系CSRC 携程安全应急响应中心官方邮件:CSRC.security@trip.com,会有对应的审核人员给您答疑。携程安全应急响应中心将根据漏洞报告者利益优先的原则进行处理,必要时可引入外部人士共同裁定。

 

推荐文章: 端午节CSRC活动   阅读量:673087