携程SRC安全漏洞评分标准升级

携程应急响应中心（CSRC）安全漏洞评分标准

新版安全漏洞评分标准生效日期：2020年11月14日

一、安全漏洞评分标准

• 携程根据漏洞的危害程度将漏洞等级分为、【高】、【中】、【低】、【无】四个等级；应用系统重要性分级为：核心应用、一般应用、边缘应用、合作公司。

• 每个漏洞所得携程币=系统重要性系数*漏洞严重性系数。CSRC采用携程币作为货币单位，1携程币=1RMB。

• 安全漏洞最终评分会根据具体漏洞类型、业务重要性评定。对应表如下：

二、携程应用系统重要性分级标准

1、  核心应用（系数10）：*.ctrip.com和*.trip.com 主页面的入口（包括会员资金交易），入口如下截图，具体域名如下表所列。

2、  一般应用（系数5）：除核心应用外，是*.ctrip.com和*.trip.com域名，且具有业务属性或业务用户数据相关的应用。

3、  边缘应用（系数1）：属于携程应用，域名不限，且非业务属性和非业务用户数据相关的应用。

4、  合作公司（系数0.5）：如永安、途风、爱玩户外等。

说明：业务属性：携程系统服务对象属于外部用户，包括to B或to C，服务于携程集团员工或关联公司的系统属于非业务属性。

域名举例如下

三、漏洞类型评级标准

【高危】本等级包括，系数：100-500

1、直接获取系统权限的漏洞。包括但不仅限于命令执行、代码执行、获取Webshell、SQL注入获取系统权限、缓冲区溢出。

 2、直接导致业务拒绝服务的漏洞。包括但不仅限于利用漏洞或业务逻辑漏洞直接导致系统业务不可用。

 3、严重的敏感信息泄漏。包括但不仅限于：

  1）重要DB（资金、用户身份、订单） 的 SQL 注入引起的敏感信息泄露

  2）可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露

  3）遍历导致大量敏感信息泄露

  4）源代码压缩包泄漏

  5）硬编码密码等问题引起的敏感信息泄露

  6）绕过认证直接访问管理后台（非供应商后台，而是管理员平台）、管理后台弱密码、获取大量内网敏感信息。

4、严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。

 5、严重的越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改等较为重要的越权行为。

 6、直接获取移动客户端权限。包括但不仅限于远程命令执行、任意代码执行。

 7、大范围影响用户信息或资金方面的其他漏洞。

【中危】本等级包括，系数30-100

 1、需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS，存储型XSS请证明可获取核心cookie等敏感信息以及payload的注入点。

 2、普通遍历越权操作。包括但不仅限于不正确的直接对象引用、越权查看订单信息、越权查看用户身份信息等。

 3、普通信息泄漏。包括但不仅限于客户端明文存储密码、系统路径遍历、GitHub或者百度网盘等外部托管平台上面非生产项目或者其他信息泄露，可能会根据泄露信息对携程的影响做降级处理。

 4、不涉及资金、订单和用户敏感信息等普通的逻辑设计缺陷和流程缺陷。

 5、暴力破解漏洞。

【低危】本等级包括，系数10-30

 1、轻微信息泄漏。包括但不仅限于phpinfo信息泄露、路径信息泄漏、SVN信息泄漏、异常信息泄露，以及客户端应用本地SQL注入（仅泄漏数据库名称、字段名、cache内容）、日志打印、配置信息、异常信息等。

 2、难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点，客户端密码明文传输。

 3、可导致资源滥用或造成对用户骚扰的漏洞。包括但不仅限于邮箱或短信轰炸。

 4、URL跳转。

 5、供应商后台弱口令或者是权限管控问题导致的用户敏感信息泄露，可能会根据泄露信息对携程的影响做升级处理。

【无】本等级包括：

 1、不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。

 2、无法利用的漏洞。无敏感操作的 CSRF（收藏、取消收藏、一般的资料修改等）、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。

 3、不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。

 4、反射型XSS。

 5、普通帐户弱口令。

额外奖励：

  1、漏洞影响系统在以上范围之外可计算额外奖励，视具体情况而定。

  2、漏洞所涉及系统为核心应用并且漏洞等级为高危及以上可计算额外奖励，视具体情况而定，范围在2000-10000之间。

四、评分标准通用原则

 1、评币标准仅针对携程产品和业务。域名包括但不限于*.ctrip.com，服务器包括携程运营的服务器，产品为携程发布的客户端产品（APP）。与携程完全无关的漏洞，不计币；

 2、现阶段对于非携程直接发布的产品和业务，如携程的投资公司、合资公司、合作区业务，如众荟、永安、途风、爱玩户外等，不能保证能按照预定时间处理；  

  3、通用型漏洞（如同一个漏洞源产生的多个漏洞）一般计漏洞数量为一个。例如同一个 JS 引起的多个 XSS 漏洞、同一个发布系统引起的多个页面的 XSS 漏洞、框架导致的整站 XSS/CSRF 漏洞、泛域名解析产生的多个 XSS 漏洞等；

通用型漏洞视漏洞严重性定级，第一位提交者得分，后面提交者不得分。

  4、同一个漏洞，第一个报告者得币，其他报告者不得币；提交网上已公开的漏洞不计币；

  5、以漏洞测试为借口，利用漏洞进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的，将不会计分，同时携程保留采取进一步法律行动的权利。

  6、漏洞描述请尽量详细，对于描述过于简单的漏洞，会适当降级或者忽略处理。（比如暴力破解漏洞，漏洞描述只有一个登陆页面）。

五、提交CSRC平台漏洞报告说明

【标题】漏洞影响域名和范围、涉及参数、漏洞类型等。

【漏洞描述】包含漏洞涉及的url、参数、应用版本等。

【测试账号】及测试时间。

【漏洞证明】提供POC；漏洞影响说明和漏洞利用证明，一般以截图形式提供。

【复现方法】按照逻辑对漏洞复现顺序进行描述，若使用工具复现漏洞，应提供工具名称。

【修复方案】提供至少一条可执行的修复建议，可以提供代码级的修复建议，也可以提供防护策略。

【联系方式】提供联系方式，方便漏洞确认。

六、争议解决办法

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/