美团安全应急响应中心漏洞及威胁情报处理标准 V7.0规章制度
亲爱的白帽子们:
2024年7月,我们对现有的漏洞及威胁情报标准进行了更新,详情见下文:
注:白帽子即白帽黑客(以下简称:白帽)
一、目的
美团安全应急响应中心(后述简称:MTSRC)致力于解决属于本公司产品或服务中存在的安全漏洞。本则标准描述了MTSRC处理安全漏洞报告时的具体流程和做法,同时公示了对于不同类型漏洞的奖励标准,为漏洞发现者及漏洞报告者从事漏洞发现和报告的活动提供指引。
二、适用范围
本风险处理标准适用于美团及旗下开放在互联网的应用系统,包括:
*.meituan.com、*.meituan.net、*.dianping.com、*.neixin.cn 等。
部分新增美团业务的适用范围请参考参考美团安全应急响应中心官网公告
三、版本信息
有效版本:美团安全应急响应中心(MTSRC)漏洞及威胁情报处理标准V7.0 。
MTSRC将定期对本标准进行评估,并根据评估结果进行调整。版本的更新情况我们将通过美团安全应急响应中心官网公告进行公布。
四、限制与指引
MTSRC鼓励安全研究人员积极发现并向我们报告属于我司产品或服务中的安全漏洞,但同时希望您的行为遵循以下要求:
1. 请您不要在最低验证或者漏洞指标核实测试要求范畴之外利用任何安全漏洞;
2. 请您不要进行网络拒绝服务(DoS 或DDoS)测试;
3. 请您不要进行物理测试、社会工程学测试或任何其他非技术漏洞测试;
4. 请您尽量避免访问任何存储在我司信息系统内的数据,除非访问该数据为验证安全漏洞存在的必要步骤。如您在本原则允许的测试过程中发现以下信息,请立即停止测试并及时通知我们:
1) 用户个人敏感信息;
2) 金融信息(信用信息或银行账户号码信息等);
3) 企业的财产信息或商业秘密;
5. 请您不要在任何情况下泄露漏洞测试过程中所获知的任何数据;
6. 在收到我司的明确书面授权之前,请不要公开披露或提供关于我司产品或服务安全漏洞的任何细节信息,如您无法确定能否继续进行测试,请与我们联系;
7. 我们反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害美团系统及用户的利益的攻击行为,我们保留追究法律责任的权利;
8. 请务必遵守具体测试行为规范,内容及相应违规处理详见:美团SRC漏洞测试高压线V1.0.0。
五、漏洞提交与处理流程
1. 漏洞提交
漏洞报告者可以通过MTSRC平台(https://security.meituan.com)注册并提交漏洞,内容包括但不限于:漏洞的位置及潜在危害,复现该漏洞所需的步骤、脚本、保护解析代码,重现该问题的技术相关信息,可能的解决措施等。
2. 漏洞处理流程
一个工作日内:我们会及时处理白帽子提交的漏洞信息。
三个工作日内:完成漏洞的确认、定级、及奖励金额评测。一旦提交的漏洞被确认,漏洞提交者可以收到相对应的贡献值及安全币发放,贡献值可影响MTSRC季度、年度榜单排名,安全币则可用于兑换MTSRC平台上的所有礼品与现金。
3. 漏洞修复
业务部门对MTSRC反馈的安全问题进行修复更新、总结复盘,修复时间根据安全问题的严重程度及修复难度而定。
六、有效漏洞/情报基础奖励标准
针对漏洞/情报提交及确认有效的贡献者,MTSRC将给予相应奖励。
我们采用安全币作为漏洞/情报奖励单位,按资产的重要性及漏洞/情报影响来计算安全币:
【核心业务】包括:美团外卖、大众点评、美团酒店、美团城际交通、大象、美团优选、美团闪购、美团电商、美团直播、小象超市、美团企业版、美团配送、美团金服、美团外卖柜;
【一般业务】包括:美团骑行、美团民宿、快驴进货、美团闪电仓、歪马送酒、美团到店综合(休闲娱乐、丽人、结婚、亲子、周边游、运动健身、购物、家装、学习培训、生活服务、医疗健康、爱车、宠物、酒吧/密室逃脱)、美团充电宝、美团打车、美团地图、美团餐饮系统(SaaS)、美团门票、美团圈圈、餐饮预订、推广通 及其他不在核心业务范围的业务内容。
注:规则更新后若有新增业务,在美团安全应急响应中心官网公告说明前均视为一般业务。
不同的安全漏洞和威胁情报,根据漏洞/情报的等级不同、业务范围不同、实际风险影响不同、报告质量高低不同,安全币发放不同(注:1安全币=5人民币):
七、严重危害/漏洞及情报奖励
1. 高质量漏洞
奖金10000-50000元不等
确认影响核心应用且漏洞等级为严重的有效漏洞,根据漏洞对业务产生的实际危害,我们将对该漏洞进行二次综合评定,对其中具有较高质量的漏洞,额外发放除基础漏洞奖励之外的价值2000-10000的安全币,折合人民币10000-50000元。
2. 重大安全事件
奖金10w起步,上不封顶
根据情报内容对公司产生的实际影响进行评估,对正在给公司造成重大损失的安全情报进行高额单独奖励,经公司评估确认后,对属于该情形的情报奖励10w元人民币起步,不设上限。
重大威胁情报包括但不限于:
1)大批量获取核心业务敏感信息:如大批量用户隐私信息,用户订单信息或用户账号密码等信息失窃情报;
2)重大金额损失风险:如严重逻辑设计缺陷,活动规则或优惠券设置错误等情况导致可大批量薅羊毛情报;
3)核心系统权限问题:如核心业务系统被入侵,重要业务核心数据库被拖取,大批量控制核心系统用户权限等事件情报;
4)其他能对公司造成巨大影响和伤害的事件。
八、平台福利
1.首杀漏洞奖励
以自然周为单位,本周提交的第一个有效漏洞即为首杀漏洞,可获得相应的额外漏洞奖励:首杀漏洞为严重/高危时,安全币奖励上浮100%;首杀漏洞为中危/低危时,安全币奖励上浮20%。
不论审核漏洞的先后顺序,首杀漏洞以白帽子提交漏洞时间为评判标准:
若本周提交的第一个漏洞为有效漏洞,则该漏洞即为首杀漏洞;
若提交的第一个漏洞被忽略,则顺延判断提交的第二个漏洞是否为有效漏洞,以此类推,直至产生本周首杀漏洞为止。
注:如同时提交多个漏洞,优先被确认的并非本周第一个漏洞,请耐心等待审核结果。本周首杀漏洞奖励最晚在次周周日24点前完成发放。
2. 季度奖
以季度贡献值为参考,MTSRC将为季度内做出杰出贡献的白帽个人发放季度奖励。
个人奖励评价标准:本季度内,个人贡献值位于个人季度荣誉榜前十,则可获得个人季度奖励,季度奖励金额以该季度内所得贡献值为参考;
3. 年度奖
以年度贡献值为参考,MTSRC将为年度内做出杰出贡献的白帽/安全团队,发放年度奖励。
个人奖励评价标准:本年度内,个人贡献值位于个人年度荣誉榜前十,则可获得个人年度奖励,奖励金额以该年度贡献值为参考;
团队奖励评价标准:在本年度内,团队内所有成员(人数>=3人)的总贡献值位于团队荣誉榜前列,则根据团队年度贡献值与排名进行评估,颁发团队年终奖励,奖励金额以该年度贡献值为参考。
九、漏洞评级标准
1. 漏洞严重性分级
【 严重 】
1. 直接获取美团内网系统权限的漏洞。包括但不仅限于利用命令执行、代码执行、植入Webshell、SQL注入获取系统权限、缓冲区溢出等各类可以远程获取系统权限的漏洞(需参考SSRF漏洞测试说明,完成内网环境证明测试要求);
2. 可导致巨量美团敏感数据(资金明细、用户身份、订单信息)泄漏的核心DB的 SQL 注入风险;
3. 可获取巨量美团用户的个人敏感信息的信息泄漏风险及无前置条件的越权遍历风险
4. 严重的逻辑设计缺陷和流程缺陷。包括但不仅限于任意金额支付、修改美团任意帐号密码或完全控制平台任意账号的漏洞。
【 高危 】
1. 可导致大量数据泄露的非核心DB SQL注入风险;
2. 源代码压缩包泄漏、硬编码密码等问题引起的公司及业务敏感信息泄露风险;
3. 可获取大量美团用户个人敏感信息、商户敏感信息的越权遍历风险、敏感信息泄露风险;
4. 未授权访问管理后台、后台弱密码账号、可回显SSRF漏洞等可导致大量公司及业务敏感信息被泄露、篡改的风险;
5. 无前置条件的水平越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单敏感操作、重要业务的重要配置修改等较为重要的越权行为;
6. 美团、点评首页、门店首页、商品页面、及活动页面中的无需交互可直接攻击美团用户的存储型XSS风险。
【 中危 】
1. 非高危XSS规则中指定范围页面的无需交互可直接攻击用户的存储型XSS(注:XSS盲打类需明确攻击触发点);
2. 美团、点评首页、门店首页、商品页面及活动页面中的反射型XSS风险;
3. 普通操作的水平越权风险。包括但不仅限于越权查询/修改用户非敏感信息、越权查询商家流水、越权查询订单号等非敏感功能越权;
4. 不满足高危标准的水平越权敏感操作风险,及敏感信息的越权遍历风险、敏感信息泄露风险;
5. 包括但不仅限于Github等代码平台中涉及美团内部密码泄露等问题导致的普通信息泄漏;
6.垂直越权敏感操作。包括但不仅限于越权修改重要信息、进行订单普通操作、重要业务配置修改等越权行为;
7.业务逻辑/流程设计不当造成的业务安全风险,包括但不限于条件竞争风险、前端校验绕过、认证流程绕过、优惠券/优惠资格使用限制绕过;(不包含拉新活动);
8.能直接访问美团内网的无回显的SSRF(需参考SSRF漏洞测试说明,完成对应测试要求)。
【 低危 】
1. 一般页面的反射型XSS风险;
2. 涉及美团用户敏感操作的CSRF风险;CORS导致的敏感信息泄漏风险;
3. 美团用户或商家用户登录验证码/密码的暴力破解风险;
4. 轻微信息泄漏。包括但不仅限于SVN信息泄漏、调试页面泄露,服务端配置信息泄漏、以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)等;
5. 难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点;
6. 无交互的任意URL跳转;
7. 用户普通操作的垂直越权风险;
8.对任意指定用户或手机号无限制的短信轰炸(参考标准:30条/单手机号/分钟)。
【 无 】
1. 不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性、复杂交互的URL重定向、账户枚举等问题;
2. 无法利用的漏洞。无敏感操作的 CSRF(收藏、取消收藏、添加购物车、一般的资料修改等)、无意义的异常信息泄漏、无意义的源码泄漏、内网 IP 地址/域名泄漏、无敏感信息的越权访问、401 基础认证钓鱼;
3. 不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测、无法重现、未经验证、无意义的扫描报告的问题;
4. 任何无敏感信息的信息泄露(例如无敏感信息的 jsonp劫持、无敏感信息的cors跨域配置错误、self类的XSS、仅有 js、img 等的打包文件、 一般信息的 logcat、包含内网 ip/域名的页面)等;
5. 浏览器解析本地文件(如pdf文件)造成的安全风险(如XSS)等;
6. 邮箱轰炸、未达到收取标准的短信轰炸漏洞;
7. 无法证明影响效果和范围的DOS风险。
2. 不接受的漏洞范围
以下范围的安全漏洞,我们可能会忽略或酌情给予奖励:
1. 对于利用条件异常苛刻或无法利用的安全漏洞;
2. 对于已由其他白帽子或公司内部提前知晓的漏洞;
3. 非最新官方APP或终端软件的安全漏洞;
4. 提交时,活动已经结束的业务安全风险。
十、威胁情报评级标准
1. 情报奖励构成
威胁情报风险类型包括但不限于:
安全事件情报:入侵事件情报、数据泄露情报、流量劫持情报、重大0day漏洞、黑灰产情报等;
业务安全情报:营销漏洞、活动薅羊毛、虚假门店、欺诈套现、数据售卖、批量贩卖/租赁美团商家账号等;
内容安全情报:反动色情或其他违法内容等;
其他安全情报:其他能够对美团造成危害的情报信息。
情报奖励依旧以安全币为发放单位,其由情报的危害程度,完整性和时效性决定:
情报奖励 = 危害程度 * 情报完整性 * 情报时效性
2. 情报完整性
情报的完整性影响情报价值,应说明何种人群在何时出于何种目的通过何种行为/业务进行谋取何种利益/危害行为。情报完整性系数的评价会综合关注多个方面,满足某一方面则可获得该项威胁权重分数。各项威胁权重相加后,即为情报完整性系数,系数范围1-12分。
完整性评价关注点及威胁权重分数如下:
1)威胁来源(威胁权重3分):能够帮助MTSRC对事件溯源分析、事件扩散面分析、定位攻击者等;
2)攻击路径(威胁权重3分):攻击个人或组织所攻击的的页面或接口 ;
3)攻击方法(威胁权重3分):所涉及攻击目标系统所使用的技术手段、流程或工具 ;
4)威胁原因(威胁权重1分):刷积分、入侵等 ;
5)威胁发生时间(威胁权重1分):攻击发生所在的时间,如从XX时间开始,到XX时间结束;
6)威胁损失(威胁权重1分):情报所涉及的攻击已造成的损失,比如刷了XX个订单、泄露了XX条敏感数据。
3. 情报时效性
高时效性的情报能决定情报是否能发挥其最大的作用,因此我们也将会对情报时效性进行考量,对于时间价值高的情报予以更高奖励,例如 :
315之前提供涉及 诚信经营的威胁情报 可以适当提高激励 ;
大促活动期间,提供涉及营销活动损失的情报可以适当提高激励;
……
4. 情报危害等级
我们将情报的危害程度等级划分为:【严重】、【高】、【中】、【低】四个等级,每个等级的奖励与漏洞奖励标准保持一致:
【严重情报】
对核心业务、系统、办公网络造成重大影响,或对集团造成大量资金损失的威胁情报,如:
1、某服务器被上传webshell。
2、泄漏源未被掌握的对公司敏感信息、用户个人敏感信息安全威胁的数据窃取及贩卖的完整黑产行动情报。
【高危情报】
本等级包括:对核心业务、系统、办公网络造成较大影响,或对集团造成较大资金损失的威胁情报。如:
1、对公司敏感信息、用户个人敏感信息安全构成威胁的数据窃取行为的黑产行动情报
2、泄漏源未被掌握的,对公司敏感信息、用户个人敏感信息安全构成威胁的数据贩卖行为的黑产行动情报
3、正在进行,并对美团造成较大经济损失的黑灰产行动情报
【中危情报】
对核心业务、系统、办公网络造成一定影响,或对集团造成一定资金损失的威胁情报,如:
1、因业务规则问题导致被批量刷优惠券行为
2、能有效绕过业务规则的刷单行为
2、针对美团业务,有组织的薅羊毛行为及社群信息
3、对公司敏感信息、用户个人敏感信息安全构成威胁,但数据泄漏源已经被内部知晓的数据贩卖行为情报
4、美团相关业务的短信数据泄漏,贩卖情报
5、在社交媒体、平台或社交网站中提供美团相关业务“查档”服务的情报
6、冒用美团名义进行违规,违法敛财行为的黑产组织及行动威胁情报
【低危情报】
对业务、系统、办公网络造成轻微影响的网络威胁情报,如:
1、伪冒美团网站的钓鱼网站
2、滥用美团业务的黑产组织情报(如利用s3服务存储恶意/违规文件文件,利用美团业务各类身份校验接口和短信接口牟利等)
5. 无效情报
无效情报是指错误、无意义或根据现有信息无法调查利用的威胁情报,例如:
1)上报虚假情报;
2)上报黑/灰产QQ群号,且未提供其他有效信息的;
3)上报已发现或失效情报的;
4)上报单个普通钓鱼站点地址,无其他有效信息的。
十一、其他安全风险评级标准参考
1、移动端/IOT设备安全风险评估标准
2、隐私合规类风险评级标准
3、网络爬虫类安全风险评级标准
十二、优质报告评判标准
为了提升漏洞报告的整体质量、加快漏洞审核速度,每月月底,SRC将对该月提交的所有有效漏洞报告的报告质量进行综合评估,择出优秀报告给予相应奖励。
高质量漏洞报告评估将参考以下标准:
1. 漏洞标题应准确描述漏洞问题及存在问题的平台功能,不夸张、不虚报、不带有玩笑性质;
2. 准确填写漏洞分类及相关URL、参数信息;
3. 在漏洞内容正文中以文字和图片的形式,清晰地描述漏洞的功能、接口和参数等,以及复现该漏洞所需的步骤、脚本poc、保护解析代码,重现该问题的技术相关信息等内容;
4. 提供测试IP、测试账号信息(使用非普通账号进行测试,需提供账号来源)
5. 能够对漏洞做出客观的、准确的风险等级自评;
6. 能够针对漏洞给出一定有建设性意义的修复建议;
7. 报告内容排版清晰、结构完整、条理通顺、内容不冗长。
十三、补充说明及注意事项
1. 以下情况将不记分
1) 与美团无关的漏洞;
2) 在漏洞修复之前被公开的漏洞;
3) 网上已公开的漏洞;
4) 同一漏洞,首位报告者计分,其他报告者均不计分;
5) 针对sankuai.com域名的测试行为需要联系SRC运营获得授权并报备测试信息,未经授权或使用未报备信息进行测试的行为将视为违规测试,相关漏洞不评分;
6) 以测试漏洞为理由,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,将不计分,同时美团保留采取进一步法律行动的权利;
7) 仅以附件形式提交的风险报告将被忽略,需要在“漏洞详情”处描述细节后重新提交方可计入分数和奖励
2. 以下情况将做降级/追回奖励处理
1)对于标题与内容严重不符的信息,漏洞相关信息不准确,根据情节会做漏洞降级处理,严重者将做漏洞/情报忽略处理;
2)审核同学将根据高质量报告标准,进行报告内容审核,对于缺乏关键因素(文字描述、图片证明、测试过程、风险接口和参数等),报告排版混乱,无法稳定复现的报告,将做降级/忽略处理;
3)漏洞利用存在非攻击者可控的前置条件,只能有限影响美团业务的安全风险,将视实际情况评估等级;
4)未经美团许可,私自对外透漏漏洞详情,追回漏洞奖励且保留法律起诉的权利;
5)测试过程中存在违反《美团SRC漏洞测试高压线》中内容的测试行为,将会视具体情节进行降级或追回奖励
3. 关于用户敏感信息及商家敏感信息、公司敏感信息的定义:
1)用户个人敏感信息:用户个人敏感信息包括两大类:一是可直接识别用户身份的个人标识信息,如真实姓名、身份证号和联系方式;二是涉及个人隐私的信息,如地址、银行卡号、订单详情和位置信息。用户个人敏感信息的定义要求至少包括以上两类中的两种信息,并且必须包含至少一种个人标识信息。
2)商家敏感信息:商户或合作伙伴责任主体真实身份标识、财务信息。
3)公司敏感数据:公司财务数据,涉及公司内部的机密数据,公司业务的核心算法或关键代码及相关数据;可直接识别员工或相关信息泄漏会给员工造成危害的员工信息。
4、关于数据量级的定义:
1)巨量:>100W条
2)大量:>5000条
5、漏洞利用前置条件包括但不限于:业务系统需满足配置项、需要用户多次交互、需要特定环境(系统版本、浏览器版本等)触发、需要具备对应资质和实名认证的商家/合作商账号等;
6. 对于同一个URL,如果多个参数存在类似的漏洞,按一个漏洞积分,不同类型的,按危害程度最大的计分;
7. 第三方产品的漏洞只给第一个提交者计分,不同版本的同一处漏洞视为相同漏洞;
8. 同一个漏洞源产生的多个漏洞计算为一个漏洞。例如同一个JS引起的多个安全漏洞、同一处功能的添加/删除/修改、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个安全漏洞等;
9. 同一应用下大量存在的同一类型漏洞:正常确认收取3个;如漏洞都由同一风险点导致的,修复风险后,其他漏洞也将自动修复时,只确认第1个漏洞。
10. 一个报告中提交多个漏洞,以危害级别最高的漏洞计分;
11.提交漏洞时请确认是否会对业务有真正的影响,并提交实际产生危害的证明,对于间接危害或猜测危害,定级时将不予考虑;
12.测试行为应遵守白帽子测试行为规范,违反规范内容的测试行为,将按照《美团SRC漏洞测试高压线》中的处罚内容进行处罚。
十四、礼品发放机制
1. 漏洞提交者在收到发放的安全币后,可在MTSRC平台商城中进行礼品兑换,1安全币=5人民币;
2. 当周兑换的非现金礼品,会于次周周三统一发放,如遇节假日顺延至下一个周三;
3. 每月28日前兑换现金,将于本月29日结算,次月的7个工作日内由财务进行统一汇款,同时,个税所得税由平台代缴;
4. 兑换非现金礼品时,漏洞报告人员需提供准确的收件人信息,如收件人信息不准、快递公司问题及人力不可抗拒因素产生的奖品丢失或者损坏,MTSRC不承担责任 ;
5. 兑换现金时,漏洞报告人员需提供准确的汇款信息,如因信息错误导致汇款失败,MTSRC将联系您再次确认打款信息,并于次月再次尝试打款 ;
6. 除常规奖励外,MTSRC定期会开展季度、年度贡献值排行榜奖励、优质漏洞奖励、节假日福利等活动,具体规则再另行通知 ;
7. 对于MTSRC开展的不定期奖励活动,其奖励标准及礼品管理以活动公告为准 。
十五、FAQ
1. 成功提交有效漏洞后,多久可以再次提交同个系统的同类型漏洞?
业务方对反馈的漏洞进行排期修复、风险排查,时间一般为1个月左右,1个月后白帽子可再次提交同系统同类型漏洞。
2.为什么同样类型的漏洞,其他人的奖励比我的奖励高?
奖励是根据该漏洞给美团造成的损失来确定的,同样类型的漏洞发生在不同的系统给美团造成的损失可能完全不同,所以即使同类型的漏洞,漏洞奖励也可能有很大差异。
3.为什么你们把我的漏洞忽略了之后又把它给修了?
忽略后修复存在多种情况,比如:业务方在漏洞提交前已发现该问题并着手修复,或其他白帽子捷足先登等情况;但无论是哪种情况,我们都不会为了不给白帽子奖励而恶意忽略漏洞,请各位小哥放心。
4.为什么我这个漏洞在XX条件下,如果XXX,就能有非常严重的危害,你们却只给我了高/中/低危?
漏洞级别只考虑能够稳定复现的直接危害,对于不能提供证明的所谓危害,定级时不予考虑。
十六、争议解决办法
漏洞处理过程中,如果漏洞报告者对处理流程、评级评分具有异议的,请联系运营同学(微信号:Secre4Garden)、官方QQ群261181052或通过邮件发送至EDP.src@meituan.com或进行反馈,MTSRC将根据漏洞报告者利益优先的原则进行处理。
一对一解决您的法律问题,
已提供49958次咨询
- 张纪中称将倾尽一切守护家06-06
- 亲子鉴定要多少钱的费用06-03
- 离婚手续办理流程有什么06-03
- 离婚起诉立案后的流程怎么走06-03
- 离婚二个人都同意离婚当天就给证吗06-03
- 二个人都同意离婚当天就给证吗06-03
- 律师回应女子为4只宠物狗立遗嘱 专款专用引发热议06-03
- 哪里可以咨询婚姻问题?06-03
- 哪里可以咨询关于婚姻的问题?06-03
- 民政局怎么咨询婚姻问题?06-03
- 郑中基与余思敏终离婚?现身法庭闭门聆讯,身形暴瘦五字回应04-20
- 检察机关披露:万某某拐卖46名外籍女子入境,贩卖获利133万元04-17