一. 适用范围

1、 贝壳安全应急响应中心（BeiKe Security Response Center，以下简称“BKSRC”）作为贝壳找房（以下简称“贝壳”）面向广大用户收集安全漏洞及威胁情报公开平台，携手互联网安全领域中的力量共同发现潜在的安全威胁，帮助贝壳提升产品和业务的安全性；与此同时，积极与安全专家们建立联系，建设互联网生态安全，共同守护亿万贝壳用户的信息安全。

2、 本规范适用于贝壳安全应急响应中心（https://security.ke.com）所收到的贝壳所有产品及服务安全漏洞报告。

3、 评分标准仅适用于贝壳所有产品和服务，其中包括但不限于：*.ke.com、*.realsee.com、*.lianjia.com等。

4、 对于非贝壳找房直接发布的产品和服务暂不计分，其中包括但不限于：贝壳金服、自如等。

二. 基本原则

1、 贝壳非常重视自身产品和业务的安全问题，希望通过在BKSRC中负责任的漏洞及威胁情报提交方式加强自身产品、业务安全并与业界合作，我们承诺，对每一位报告者反馈的问题都有专人进行跟进、分析和处理，并给予答复。

2、 BKSRC支持负责任的漏洞提交和处理过程，我们承诺，对于每位恪守白帽子精神，保护用户利益，帮助贝壳提升产品和业务的安全性的用户，我们将给予感谢和回馈。

3、 BKSRC反对和谴责一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益的黑客行为，包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞、利用漏洞及威胁情报造谣、威胁恐吓BKSRC公开漏洞或数据等，同时将对违法违规者保留采取进一步法律行动的权利。

4、 BKSRC禁止在进行漏洞收集、测试过程中，进行非法侵入贝壳网络、干扰贝壳产品和服务的正常功能、窃取用户数据等行为。在此过程中获取到的数据仅用于漏洞验证，并且为漏洞证明所需的最小数据量（不超过10条）；禁止提供专门用于侵入贝壳网络、干扰贝壳产品和服务正常功能、窃取或扒取用户数据等的程序和工具；并不得为他人从事上述危害活动提供技术支持等帮助。

5、 BKSRC认为每个漏洞及威胁情报的处理与整个安全行业的进步，都离不开互联网安全领域中各方的共同合作，希望大家一起为建设互联网生态安全，共铸安全新时代而努力。

三. 反馈与处理流程

1、 注册/登录

报告者通过BKSRC平台（https://security.ke.com）注册或登录账号，完善个人资料，确保填写的资料真实有效。

2、 提交漏洞或威胁情报

1） 报告者可以通过注册账号登录BKSRC平台（https://security.ke.com）提交漏洞或威胁情报。

2） 报告者可以发送邮件到bksrc@ke.com提交漏洞或威胁情报，请在邮件主题中注明“BKSRC--漏洞/威胁情报提交”，正文包括但不限于：漏洞名称、位置及潜在危害，复现该漏洞所需步骤的详细说明、脚本等技术相关信息，提供可能的修复方案等。为确保邮件信息的机密性，我们希望，当您向我们发送的电子邮件涉及敏感信息时，对该信息进行加密。

3、 报告审核

1） 一个工作日内，BKSRC工作人员会确认收到的漏洞或威胁情报报告，并跟进评估问题。

2） 三到七个工作日内，BKSRC工作人员处理问题，完成漏洞或威胁情报的确认、评级和奖励金额评测。忽略及重复的漏洞会说明原因，必要时会与报告者沟通确认，请报告者予以协助。

3） 提交的漏洞或威胁情报被确认后，提交者可以收到积分，积分可用于兑换礼品。

4、 问题修复

1） 报告确认后，业务部门修复漏洞或威胁情报中反馈的安全问题并安排更新上线。

2） 修复时间根据问题的严重程度及修复难度而定。

5、 完成确认

1） 对于已确认的漏洞，BKSRC工作人员进行复测验证，验证成功后提交报告者确认。

2） 对于已忽略的漏洞，BKSRC工作人员会说明原因。

四. 评分标准

1、 评分细则

1） 漏洞及威胁情报的最终定级的标准在于对业务本身带来的影响。

2） 根据漏洞及威胁情报的危害程度、目标业务系统的重要程度等多方面因素综合评价，将评级分为严重、高危、中危、低危、无影响（忽略）共5个等级。对于同样的漏洞在不同的业务场景中会有不同的影响

3） 核心应用及业务包括：贝壳找房官网、链家官网、贝壳找房APP、链家APP、Link APP、通用核心功能如统一登录等。

2、 漏洞及威胁情报评分标准

3、 漏洞评级参考

以下漏洞评级仅作为参考，实际定级以最终BKSRC审核结果为准。

【严重】本等级包括：

1） 直接获取核心系统权限的漏洞，包括但不限于远程命令执行、任意代码执行、任意文件上传获取web shell，核心DB的SQL注入漏洞。

2） 直接获取公司机密级信息的漏洞，包括但不限于未授权接口访问漏洞等。

3） 直接导致核心业务系统用户信息丢失或资金损失的逻辑漏洞，包括但不限于贝壳统一登陆账号体系的任意账号登录和密码修改、任意账号资金消费、支付交易逻辑漏洞。

4） 直接导致核心业务拒绝服务的漏洞，该类漏洞可直接导致线上核心应用、系统、数据库、设备等无法继续提供服务。

【高危】本等级包括：

1） 直接获取一般系统权限的漏洞，包括但不限于非核心系统的远程任意命令执行、任意代码执行、任意文件上传获取web shell，可dump数据的SQL注入。

2） 直接获取商业秘密级信息的漏洞，包括但不限于重要敏感数据信息的泄露漏洞。

3） 重要的未授权访问操作，包括但不限于绕过认证直接访问含有敏感信息的管理后台操作、核心业务含有敏感信息的未授权访问、核心业务后台弱口令且业务中有实际操作权限、越权查看任意用户敏感信息、可直接获取大量内网敏感信息的SSRF。

4） 重要活动的业务逻辑漏洞，包括但不限于刷红包、刷金币等，通过漏洞确实可直接获取较高利益或能给公司带来大量经济损失的漏洞。

5） 核心系统重要交互页面的存储型XSS，并且可获取核心业务系统cookie等敏感信息或具有传播性的XSS。

6） 涉及贝壳统一登录账号体系的暴力破解漏洞。

【中危】本等级包括：

1） 需交互才能对用户产生影响的漏洞，包括但不仅限于一般页面的存储型XSS、敏感操作（如修改个人敏感信息类操作）的CSRF等。

2） 普通的信息泄漏漏洞。

3） 普通的未授权操作，包括但不仅限于具有破坏性的越权编辑、删除或查看非核心系统的各类信息等。

4） 普通的逻辑设计缺陷和流程缺陷，包括但不限于非核心的业务规则绕过。

【低危】本等级包括：

1） 在特定情况之下才能获取用户信息的漏洞，包括但不限于反射XSS、边缘业务的存储XSS。

2） 轻微信息泄漏，包括但不仅限于在实际漏洞利用过程中产生影响的信息泄露等。

3） 其他只能造成轻微影响的漏洞，包括但不限于URL跳转漏洞等。

4） 可能存在安全隐患但利用成本很高的漏洞，包括但不限于特殊情况下的中间人攻击、需要用户连续交互的敏感安全漏洞。

【无影响（忽略）】本等级包括：

1） 不涉及安全问题的Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。

2） 无法利用的漏洞。包括但不限于不可利用的Self-XSS、PDF XSS、无敏感操作的CSRF（如收藏、关注、点赞、非重要业务的普通个人资料修改等）、无敏感信息的JSON  Hijacking、无意义的源码泄漏、无实际影响的业务批量操作（如收藏、关注、点赞、评论等）、内网IP地址/域名/路径信息泄漏、401基础认证钓鱼、程序路径信任问题、横向短信轰炸、没有实际意义的扫描器漏洞报告（如Web Server的低版本）等。

3） 无法重现的漏洞。包括但不仅限于纯属用户猜测、未经过验证的问题、只有简要概述的漏洞、经BKSRC审核者多次确认无法重现的漏洞等。

4） 内部已知或正在处理的漏洞，包括但不限于如Discuz!等已在其他平台公开通用的、白帽子或内部已发现的漏洞。

5）上传时间超过一年的网盘信息泄露。

6）无明显危害的枚举如用户名枚举、手机号注册枚举等。

4、 威胁情报评级参考

以下威胁情报评级仅作为参考，实际定级以最终BKSRC审核结果为准。

【严重】本等级包括：

1） 针对核心业务系统的完整入侵证据或漏洞线索，如核心生产服务器被上传webshell等。

2） 重要业务数据库被拖取且提供了数据库名或数据库文件等相关线索，如用户个人信息、交易信息等。

3） 对贝壳核心产品服务有重大直接影响的黑灰产详细情报。

【高危】本等级包括：

1） 针对非核心业务系统的完整入侵证据或漏洞线索，能够帮助BKSRC对入侵事件溯源分析、定位攻击者身份等。

2） 对贝壳核心产品服务造成较大影响的黑灰产详细情报。

【中危】本等级包括：

1） 对贝壳特定产品服务造成一定影响的黑灰产详细情报。

2） 能够帮助BKSRC完善防御体系的详细情报，以防御高风险及以上级别危害的新型攻击方式、技术等。

【低危】本等级包括：

1） 少量的作弊线索、黑灰产人员组织结构信息。

2） 社会舆情舆论。如涉及到贝壳的恶意言论等。

5、 评分标准通用原则

1） 评分标准仅适用于贝壳产品和服务，与贝壳无关的漏洞或威胁情报不计分。

2） 重复漏洞：同一个漏洞，首位报告者计分，其他报告者均不计分，做忽略处理。

3） 通用漏洞：由同一个漏洞源产生的多个漏洞，漏洞数量计为一个，例如：链家及贝壳同一功能引起的多个漏洞、同一个JS引起的多个漏洞、服务器或应用框架引起的多个漏洞、泛域名解析等引起的多个漏洞等。

4） 漏洞提交后，在漏洞未修复前被公开的报告不计分，请严格保密已提交的漏洞信息，如泄密一经发现撤回所有奖励。

5） 以测试为借口，利用漏洞及威胁情报信息进行损害用户利益、影响业务正常运作、盗取用户数据等行为的，将不会计分，同时BKSRC保留采取进一步法律行动的权利。

五. 奖励发放原则

1、 日常奖励

1） 漏洞及威胁情报报告者通过报告获得积分，奖励积分=漏洞等级*等级系数（该系数会根据实际情况调整，每次调整会公告发布）*业务等级

2） 每个月月初寄送上一个月兑换的礼品，如因报告者未能完善收货所需资料导致的延误，将顺延至下个月统一寄送；如因报告者过失、快递公司问题及人力不可抗拒因素产生的奖品丢失或者损坏，BKSRC不承担责任。

2、 其他奖励

除常规奖励外，BKSRC定期会开展月年度、年度积分排行榜奖励、优质漏洞奖励、节假日福利等活动，具体规则再另行通知，以活动公告为准。

六. 争议解决办法

在漏洞处理过程中，如果报告者对处理流程、漏洞定级、漏洞评分等具有异议的，可以通过报告页面的评论功能进行反馈。BKSRC将根据漏洞及威胁情报报告者利益优先的原则进行处理，规范最终解释权归BKSRC所有。