货拉拉安全应急响应中心漏洞处理和评分标准V4.1

货拉拉安全应急响应中心漏洞处理和评分标准V4.1规章制度

东莞律师在线咨询免费 2025-06-05 05:10

实施日期：2024年4月1日

修订记录：

V1.0 2021-04-22 发布第一版；

V2.0 2021-07-05 更新核心业务范围；

V2.1 2021-08-05 更新漏洞处理流程；更新漏洞等级标准；更新评分通用原则；

V3.0 2022-08-19 漏洞奖励升级，新增季度奖励，每个章节均有不同程度的更新；

V4.0 2023-04-21 新增团队季度奖励，漏洞等级标准、评分通用原则均有不同程度的更新；

V4.1 2024-04-01 应用系数说明、漏洞等级标准、评分通用原则、奖励发放机制均有不同程度的更新；

— 基本原则

1）货拉拉非常重视自身产品和业务的安全问题，我们承诺，对每一位报告者反馈的问题都有专人进行跟进、分析和处理，并及时给予答复。

2）货拉拉支持负责任的漏洞披露和处理过程，我们承诺，对于每位恪守白帽子精神，保护用户利益，帮助货拉拉提升安全质量的白帽子，我们会给予感谢和回馈。

3）货拉拉反对和谴责一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益、影响业务正常运作的黑客行为，同时货拉拉将保留进一步追究法律责任的权利。

4）货拉拉在跟进报告者反馈的问题时可能需要报告者的帮助，为了有效的跟进问题可能需要报告者协助一同复现问题，货拉拉反对和谴责一切遮掩漏洞细节或抗拒协助的报告行为。

5）货拉拉认为每个安全漏洞的处理和整个安全行业的进步，都离不开各方共同合作，希望各方企业、安全公司、安全组织及安全研究者一起加入到“负责任的漏洞披露”过程中来，一起为建设更安全更健康的互联网环境而努力。

6）请报告者严格遵守《货拉拉安全应急响应中心（LLSRC）测试规范》（https://llsrc.huolala.cn/#/noticdetails?notic=%5Bobject+Object%5D&id=4 ）、《LLSRC安全测试规范》（https://llsrc.huolala.cn/#/noticdetails?notic=%5Bobject+Object%5D&id=10）、《LLSRC漏洞报告提交规范》（https://llsrc.huolala.cn/#/noticdetails?notic=%5Bobject+Object%5D&id=11）

二漏洞/情报处理流程

1、处理流程及处理时限

2、处理说明

1）审核阶段一般会在三个工作日内确认报告，如安全漏洞或威胁情报较复杂，对应分析调查时间较长，因此报告确认时间会延迟。

2）在修复阶段业务部门会对反馈的安全问题进行修复更新、总结复盘，修复时间根据安全问题的严重程度及修复难度而定。

3）在安全报告处理过程中，若对处理流程、处理结果有异议，请通过邮件llsrc@huolala.cn并以邮件标题【LLSRC漏洞处理异议】进行反馈。LLSRC将按照报告者利益优先的原则处理，必要时可引入外部安全专家共同裁定。

4）漏洞奖励将以积分的形式发放，报告者可在LLSRC平台个人中心处查看积分并进行积分兑换。

三漏洞评分标准

漏洞最终所得积分将由业务重要程度、危害程度、利用场景等综合因素决定。

积分计算规则如下：积分=基础积分*应用系数

对应税后现金奖励如下：积分与人民币兑换比例为 1:10

四应用系数说明

LLSRC 根据应用重要程度将应用分为【核心应用】、【一般应用】、【边缘应用】

1、核心应用，系数 10：核心业务中涉及获取身份证信息、真实联系电话、用户住址、客户订单相关应用功能。

2、一般应用，系数 5：核心业务中除核心应用以外的应用功能。

3、边缘应用，系数 1：除以上应用的其他所有业务功能，包括由货拉拉第三方供应商提供的系统。域名中包含STG/PRE/DEV的应用

核心业务：跑腿、小 B、搬家、物流、企业版、卖车、车后市场、汽车金融。

五漏洞等级标准

根据漏洞危害程度将评级分为严重、高危、中危、低危、忽略，共五个等级，每个等级

对应不同的基础积分范围。其中涉及测试环境的系统在上述等级中自动降低一级评分

本规则仅作为参考，漏洞的最终评分会按照漏洞的影响范围、实际利用难度、报告的详细程度、复测过程中上报者的配合程度等多维度综合评分，货拉拉安全应急响应中心拥有最终解释权。

1、严重（基础积分 100～80）

1）直接获取系统权限的漏洞。包括但不仅限于利用命令执行、代码执行、植入 Webshell、SQL 注入获取系统权限、缓冲区溢出等各类可以远程获取系统权限的漏洞。

2）严重的敏感信息泄漏。包括但不仅限于无限制获取用户明文身份证、手机号及姓名等敏感信息，且需同时获取三要素信息；核心 DB（资金、用户身份、订单）的 SQL 注入，可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露。

3）严重的逻辑设计缺陷和流程缺陷。包括但不仅限于任意金额支付、批量修改任意帐号密码漏洞。

2、高危（基础积分 40～30）

1）敏感信息泄漏。包括但不仅限于遍历导致大量敏感数据泄露、非核心 DBSQL 注入、源代码压缩包泄漏、硬编码密码等问题引起的敏感信息泄露。

2）敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台以修改大量前台敏感信息，或利用后台弱密码、SSRF 获取大量内网敏感信息。

3）直接获取移动客户端权限。包括但不仅限于远程命令执行、任意代码执行。

4）越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单敏感操作、重要业务配置修改等较为重要的越权行为。

5）核心业务且大范围影响用户的其他漏洞。包括但不仅限于重要页面可自动传播的存储型 XSS、可获取管理员认证信息且成功利用的存储型 XSS 等。

3、中危（基础积分 10～5）

1）需交互方可影响用户的漏洞，包括但不限于存储型 xss、webview跳转劫持、重要敏感操作的 CSRF。

2）普通越权操作。包括但不限于可越权访问少量用户敏感信息、需要特殊用户身份的管理员垂直越权。

3）普通信息泄漏。包括但不仅限于 Github 涉及货拉拉内部密码泄露。

4）普通的逻辑设计缺陷和流程缺陷导致的安全风险。

5）文件上传只能造成钓鱼、存储 xss （PDF XSS除外）危害的漏洞。

4、低危（基础积分 3～1）

1）在特定情况下才能获取用户信息的漏洞，包括但不限于反射型 xss。

2）轻微信息泄漏。包括但不仅限于含账户密钥的git 信息泄漏或服务端配置信息泄漏，springboot actuator 敏感端点未授权访问(仅收env和trace端点)，以及客户端应用本地 SQL 注入（仅泄漏数据库名称、字段名、cache 内容）等。

3）难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的 SQL 注入点、反射型 XSS。

4）轻微的设计缺陷漏洞，如对单个手机的无限短信轰炸漏洞、无交互的任意 URL 跳转。

5、忽略（基础积分 0）

1）不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性、需交互的 URL 重定向、账户枚举等问题。

2）无法利用的漏洞。无敏感操作的 CSRF、无意义的异常信息泄漏、无意义的调试页面泄露、无意义的源码泄漏、内网 IP 地址/域名泄漏、无敏感信息的越权访问、401 基础认证钓鱼、SPF邮件伪造、管理后台路径泄漏、example等默认demo未删除、无敏感信息的SVN信息泄漏、只有固定版本的小众浏览器才能触发的xss、用户弱口令、邮件轰炸、横向扫号、暴力破解、轮循多个手机的短信轰炸等

3）不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测、无法重现、未经验证、基于理论未提供实际危害证明的问题，以及无意义的扫描报告的问题（如：硬编码、无混淆、Activity组件劫持、未加固/脱壳反编译、Janus签名绕过等）。

4）任何无敏感信息的信息泄露，包括但不限于无敏感信息的 jsonp 劫持、无敏感信息的 cors 跨域配置错误、self 类的 XSS、仅有 js、img 等的打包文件、一般信息的 logcat、包含内网 ip/域名的页面、并发请求不重要的功能(如预约、无法获利的积分等)、无实际用处的API Key泄漏、本地拒绝服务漏洞等。

5）运营预期之内或无法造成资金损失的问题，包括但不限于地图key问题、拉新留资接口无限制、使用多个账号领取小额奖励/代金券等的正常业务活动

六评分通用原则

1、评分标准仅适用于货拉拉的所有产品和服务，即实际漏洞发生点所对应的域名为.huolala.cn或.huolala.work结尾的漏洞，与货拉拉无关的漏洞无积分。

2、第三方产品的漏洞只给第一个提交者计分，等级不高于【高】，且不保证修复时长；不同版本的同一处漏洞视为相同漏洞。非源码部署货拉拉服务器的第三方系统漏洞无积分，若发现此类第三方系统存在泄露货拉拉数据的情报或线索，可将安全情报提交至LLSRC。

3、同一组件导致的多个业务问题（包括PC和移动端），只确认1个。比如同一个第三方SDK/第三方库导致的多个APP漏洞；

4、0Day/1Day类通用型漏洞，如fastjson出现新漏洞，只确认第1个首位报告者漏洞，报告者需附详细poc利用证明方可得分。

5、同一应用下大量存在的同一类型漏洞：确认前3个；若漏洞都由同一问题点导致的，修复一个漏洞其他也都会被自动修复时，只确认第1个漏洞，如同一过滤函数导致的XSS绕过、框架层漏洞等；

6、同一功能的越权增删改查，只确认1个；相似功能或接口的同一类型漏洞，比如getDetail和getList合并按一个漏洞确认；

7、同一应用下的同一数据库的SQL注入，确认前3个，其中第1个正常确认，后2个降一级确认；若是同一个url下多个参数SQL注入，则只确认1个；

8、由同一个漏洞源产生的多个漏洞计漏洞数量为一个，如同一个 JS 或者同一类sql注入类型引起的多个安全漏洞；同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个安全漏洞；由服务器某一配置、应用框架某一全局功能、同一文件或模板等引起的多个问题，只确认第1个漏洞等。

9、前后关联的漏洞将合并处理，第一个漏洞按打包后正常评级，其他漏洞无影响处理；不同域名，但经确认为内部同个子系统的漏洞将合并处理；

10、后台管理系统中的弱口令将根据账号属性及权限大小定级；同一后台管理系统多个弱口令请合并提交；

11、对于部分环节与其他已知漏洞重复的利用，会降级处理；对内部已经发现并在处理的漏洞，做忽略处理，LLSRC审核员不会随意忽略漏洞。

12、信息泄露类、未授权访问类的漏洞如 SSRF、github 信息泄露，memcache、redis 等未授权访问等，根据存储的内容的有效、回显情况、敏感程度进行确认评级；key泄露问题需要提供key有效性证明和影响证明。

13、漏洞的最终奖励由利用难度及影响范围等综合因素决定，若漏洞触发条件非常苛刻，则可跨等级调整积分数量。

14、漏洞报告者复查状态为“已修复”的漏洞，如果发现漏洞仍然存在或未修复好，当作新漏洞继续得分。

15、漏洞产生在测试系统、边缘系统、以及弃用系统的，对业务不产生直接影响的，漏洞等级将降级处理。

16、同一个报告里提交多个不同漏洞，只按级别最高的漏洞计分；报告网上已公开或者在修复前被作者投到其他三方平台的漏洞不计分；同一漏洞最早提交者得分。

17、漏洞报告需严格按照《LLSRC漏洞报告提交规范》提交，详见https://llsrc.huolala.cn/#/noticdetails?notic=%5Bobject+Object%5D&id=11，漏洞提交报告应尽量详细、规范，包括但不限于：域名，详细URL、poc代码或截图或视频、数据证明等，如有漏洞利用工具，请提供利用工具名称，经过验证切实可用并造成相应危害的才收取；若漏洞标题与内容严重不符，或描述信息过于简略，根据情节会做漏洞降级处理。

18、在漏洞未修复之前，被公开的漏洞将追回奖励处理。涉及到货拉拉安全的漏洞，禁止未经货拉拉明确的书面授权，私自公开漏洞的任何细节信息以及在漏洞测试过程中所获知的任何数据，一旦发现严肃处理，包括追回奖励，账户禁用等。

19、禁止近源渗透。

七奖励发放机制

1、常规奖励

货拉拉安全应急响应中心奖励发放采用积分兑换机制，积分和人民币兑换比例为1:10，报告所得积分可用于在平台兑换现金、实物奖励。

现金奖励：每月打款一次，每月15日之前兑换的将于次月中旬打款至预留银行账户。
实物奖励：每月15日邮寄，如遇节假日则延顺至工作日处理。
所发奖励如因报告者过失、快递公司问题及人力不可抗拒因素产生的奖品丢失损坏，LLSRC不承担责任。

2、季度奖励

为了鼓励提交高质量漏洞情报，LLSRC每季度将设置3个额外贡献奖励，奖励金额为税后金额，奖励如下：

入围条件：

当季度必须提交至少3个有效高危漏洞或1个有效核心严重漏洞，且季度累计积分达到或超过1500分，如无符合条件者，此奖项可为空；
当季度提交的漏洞中，按严重、高危、中危排序，严重漏洞数多者排名优先，依此类推，各等级漏洞数量相同则排名一致，季度排名一致的白帽子均分相应名次所得奖金。

3、团队奖励

为感谢各安全团队对货拉拉安全应急响应中心（LLSRC）的关注与支持，LLSRC将对季度优秀安全团队进行嘉奖，具体奖励计划如下：

每个安全团队人数应不少于3人不超过10人，现团队中，超过10人的，由队长决定拆分成两个或多个队伍；
对于外面已存在的团队名称，LLSRC将对团队的所有权持谨慎态度，原则上需要相关团队leader授权；
团队奖励每季度评选一次，同时满足季度团队上榜人数、有效高危严重漏洞数、积分总数的安全团队可获得对应现金奖励；若该季度没有符合要求的安全团队，则奖项自动空缺；
每个新季度的前十个工作日，符合要求的安全团队的队长，可提交报告申请上个季度团队奖励发放，LLSRC将于次月中旬前打款至队长预留的银行账户，奖金由团队队长自行分配。

八其他说明

上述标准不适用于下列人员：