携程威胁情报奖励计划规章制度
即日起,CSRC在原有的“安全漏洞奖励计划”的基础上新增“威胁情报奖励计划”,该项目意在收集携程网及其合作伙伴(鸿鹄旅游、铁友)网站安全漏洞外存在的相关安全威胁。
【威胁范围】携程、鸿鹄旅游、铁友的产品和业务漏洞相关的安全情报,包括但不限于漏洞线索、流程脆弱性、攻击方式、攻击者信息等。
【响应流程】用户通过CSRC提交威胁情报信息,我方将在一个工作日内对提交信息做出响应,由于安全威胁涉及面广、所涉及的内容可能复杂,确认时间长,我方将竭力尽快对所反映问题进行确认。
【威胁情报评分标准】
Ctrip应用系统重要性分级标准:
1、核心应用:*.ctrip.com和*.trip.com 主页面入口的相关业务(包括会员资金交易)评分为:10
2、一般应用:除核心应用外,是*.ctrip.com和*.trip.com域名,且具有业务属性或业务用户数据相关的应用,评分:5
3、边缘应用:属于携程应用,域名不限,且非业务属性和非业务用户数据相关的应用,评分:1
携程币对应表,携程币=系统重要性*漏洞严重性
系统重要性/漏洞严重性 | 高危(100-300) | 中危(30-80) | 低危(10-25) |
---|---|---|---|
核心应用(10) | 1000-3000 | 300-800 | 100-250 |
一般应用(5) | 500-1500 | 150-400 | 50-125 |
边缘应用(1) | 100-300 | 30-80 | 10-25 |
评分级别 | 线索范围 | 示例 |
---|---|---|
高危 | 服务器被入侵且提供了入侵行为方式等相关线索 | 业务服务器被入侵且提供了相关行为特征方便快速定位确认问题点 |
绕过反爬限制,可恶意爬取客户敏感信息的爬虫手段和技术 | 例如爬取客人未掩码的手机号、姓名、身份证号码、地址等等 | |
公司最近一个月内的重要业务敏感信息泄漏的相关线索 | 证明最近一个月内携程网客户、订单信息批量泄漏,提供被脱库的详细信息,可快速定位确认问题点 | |
重大金融逻辑漏洞线索 | 支付类严重的逻辑漏洞 | |
业务存在严重逻辑缺陷导致业务不能正常进行的线索 | 绕过认证可以批量提交恶意订单的 | |
网站价格被恶意篡改影响当前业务的线索 | 网站旅游价格被恶意篡改,出现“1元”旅游的相关证明 | |
中危 | 公司业务存在严重脆弱性环节的漏洞 | 通过致电携程客服,利用客服人员安全意识薄弱可以成功套取用户相关信息的相关证明 |
外部黑产群或论坛,流出的黑产工具,且可运行 | 例如某恶意自动注册账号工具、自动返现工具等 | |
外部黑产群或论坛,传播的存在风险的业务活动(众包不算) | 例如某抽奖活动未接风控,恶意设备或者账号一天可以拿到5个免费住五星酒店的机会 | |
绕过风控限制,可批量进行恶意业务风险操作的漏洞 | 例如可以通过接口发包批量登录注册、唯一的模拟器设备可以批量注册账号100个以上,恶意账号可以批量领券等等 | |
绕过反爬限制,可恶意爬取一般敏感信息的爬虫手段和技术 | 例如商品价格、酒店地址、库存量等等 | |
低危 | 发现针对携程的假冒或者钓鱼网站等 | 提供假冒或者钓鱼网站有效链接 |
【威胁情报认定原则】
1)通用型漏洞、同一安全隐患引起的多个问题计数为一个
2)业界暂时无法彻底解决的业务威胁问题暂时不计分,例如众包手动领券(如果发现某活动未接入风控,依靠一些黑设备或者批量注册的账号,依然可以参与活动的。若提交情报,可帮助减少业务损失的,依然算分)
3)对于第三方问题导致的安全威胁,我方无法修复的暂时不计分(如航空公司客户信息泄漏造成的携程用户被欺诈)
4)被重复提交的同一问题,认定第一个报告者为有效报告者
5)提交网上已公开的威胁情报不计分
6)以安全测试为借口,利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的,将不计分,同时携程保留采取追究法律责任的权利
7)威胁情报接收邮件如下:xxaqwxqb@trip.com
登录系统提交威胁情报请点击: 携程旅行网账号登录
若无携程账号,请先注册: 携程旅行网账号注册
您所报告的威胁情报,我们会在第一时间跟进与反馈。
-
携程免责声明
携程提醒您:携程网站由上海携程商务有限公司运营,涉及具体产品服务的,将由有资质的服务商提供。如果用户(“用户”或“您”)在本网站、携程关联公司网站或其他携程提供的移动应用或软件上(以下简称“携程网”)
-
携程平台用户服务协议
发布日期:2024年12月20日生效日期:2024年12月27日用户服务协议下载提示条款【审慎阅读】您在申请注册流程中点击同意本协议之前,应当认真阅读本协议。请您务必审慎阅读、充分理解各条款内容,特别
-
携程个人信息保护政策
发布日期:2025年7月1日生效时间:2025年7月8日引言欢迎您访问携程旅行网!携程(以下也称“我们”)深知个人信息对您的重要性,因此我们非常重视保护您的隐私和个人信息。我们将按照法律法规要求并通过
一对一解决您的法律问题,
已提供49958次咨询
- 继父留600万遗产 继女起诉获137万08-16
- 66岁老头与情人发生关系后猝死!家属起诉情人索赔55万08-15
- 女儿非要跟我发生关系怎么办08-12
- 和亲女儿做爱犯法吗?08-12
- 亲女儿成年且自愿的情况下每天和亲女儿做爱违法吗08-12
- 13岁和姐姐发生了关系,该怎么办?08-12
- 婚礼后同居近一年无夫妻之实,新郎起诉返还财产称新娘“不让碰”,女方被判返还18万元彩礼08-11
- 男子修行10年还俗 向女儿要赡养费08-10
- "婚内强奸案"将开庭 男方姐姐发声08-10
- 坐月子被逼发生关系 女子打死丈夫08-10
- 男子殴打妻子发生关系被告强奸08-10
- 男子转嫖娼对象138万原配追讨败诉08-09