HSRC安全漏洞处理奖励细节v1.0

哈啰出行非常重视自身产品和业务的安全问题，我们深知，挖掘漏洞需要付出宝贵的时间和精力。我们承诺，对每一位报告者反馈的问题都有专人进行跟进和处理，并及时给予答复。同时，对于帮助哈啰出行提升安全质量的用户，我们将给予您感谢和回馈。

致谢：所有对这个标准给出建议的帽子

如果您对本流程有任何的建议，欢迎发送邮件至hsrc@hellobike.com向我们反馈。建议一经采纳，HSRC会送出专属定制礼品。

一、安全漏洞评分标准

哈啰安全币=漏洞基础安全币*业务系数

HSRC采用哈啰安全币作为货币单位，2哈啰安全币=1RMB

漏洞基础安全币 严重400-600哈啰安全币、高危漏洞240-360哈啰安全币、中危漏洞100-200哈啰安全币、低危漏洞20-40哈啰安全币、无影响0哈啰安全币

二、业务范围及要程度判断标准

业务域名范围：*.hellobike.com、*.hellobike.cn

核心业务：单车、助力车、顺风车、电动车、火车票、打车

一般业务：生活、车主服务、送货、哈啰生活馆、哈啰币等

边缘业务：哈啰出行其它业务

三、漏洞分级

【严重】

1.   直接获取核心服务器权限的漏洞，包括但不限于重要业务的远程代码执行、命令注入、上传获取webshell获取系统权限等。

2.   核心敏感数据信息泄露漏洞，包括但不限于系统权限控制不严格，核心DB（用户信息、交易信息）的SQL注入，可获取大量用户的身份信息、订单信息、银行卡信息等导致的敏感数据泄露漏洞。

3.   核心业务的逻辑漏洞，能够大量获取利益造成公司、用户损失的漏洞，包括但不限于帐密校验逻辑、核心接口数据验证逻辑、支付逻辑漏洞等。

【高危】

1.   直接获取普通服务器或客户端权限漏洞，包括但不限于内存破坏、逻辑权限等可利用的远程代码执行漏洞。

2.   重要敏感数据信息泄露漏洞，包括但不限于重要用户信息、订单信息、数据文件信息等。

3.   本地代码执行漏洞，包括但不限于内存破坏、类型混淆、整数问题等导致的可利用本地代码执行漏洞。

4.   不需交互导致的重点业务漏洞，包括但不限于存储XSS、文件遍历、参数处理不当导致的远程拒绝服务漏洞。

5.   核心业务的逻辑漏洞，能够有限获取利益造成公司、用户损失的漏洞。

6.   核心DB（资金、身份、交易相关）利用难度高的SQL注入，无法直接获取大量敏感数据。非核心DB（不包含用户身份、资金、交易相关，只有业务数据）利用难度低的SQL注入，可以获取大量业务数据的漏洞。

【中危】

1.   需交互或其它前置条件才能获取用户身份信息的漏洞、包括但不限存储型xss等。

2.   远程拒绝服务漏洞，包括但不限于攻击接口、页面、组件导致的拒绝服务等。

3.   非核心业务的逻辑漏洞，包括但不限于组件导出、权限控制不当导致的泄露问题、重定向漏洞等。

4.   一般风险的业务安全问题。如营销活动作弊、业务规则绕过。

5.   非核心DB（不包含用户身份、资金、交易相关，只有业务数据）利用难度高的SQL注入漏洞。

【低危】

1.   利用场景有限或在特殊条件下才能获取用户信息的安全漏洞，包括但不限于特定浏览器下的反射XSS、难以利用的注入点、csrf、url跳转、CRLF、json hijack等。

2.   基本无影响的信息泄露漏洞，包括但不限于服务器物理路径、phpinfo、边缘系统文件、本地日志、无回显等。

3.   本地拒绝服务漏洞，包括但不限于PC端、移动端本地组件、进程的拒绝服务。

4.   可能存在安全隐患但利用成本很高的漏洞，包括但不限于特殊情况下的中间人攻击、需要用户连续交互的敏感安全漏洞。

5.   低风险业务安全问题。如恶意注册、违规违禁、刷帖、套现等。

6.   越权低危情况：a、攻击难度较高 b、无敏感信息 c、用户无感知。

【无影响】

1.   安全无关的产品BUG，包括但不限于产品体验或设计不好、非安全漏洞导致的服务无法访问等。

2.   无法利用或无危害的“漏洞”，包括但不限于恶作剧CSRF（对用户无实际影响）、无法影响他人的本地拒绝服务、Self-XSS、无敏感信息的cors和jsonp劫持、非敏感信息泄露（内网IP、域名）、无敏感信息的svn、无法利用的程序报错等。

3.   无任何证据的猜测，包括但不仅限于纯属用户猜测的问题；非哈啰出行产品的安全漏洞，暂不收HSRC平台自身漏洞。

四、提交流程

(一)报告漏洞

请您详细填写漏洞相关信息并按本标准提交漏洞至security.hellobike.com.请您务必对您提交的漏洞进行保密，不向任何第三方透露。如您泄露了漏洞，HSRC将不会给您哈啰安全币，已经支付的有权收回。（状态：确认中）

(二)处理漏洞

漏洞提交后24小时内（法定节假日顺延），HSRC会对收到的漏洞报告进行评估（状态：待确认/安全工程师处理中/已确认/已驳回）：

1.   待确认：常规情况下，漏洞提交后24小时内（法定节假日顺延），HSRC判断漏洞是否存在。

2.   已确认：漏洞确认存在，我们正在积极修复漏洞，HSRC会在漏洞确认后三个工作日内给予评分。

3.   已驳回：漏洞不存在或重复上报等，HSRC将驳回漏洞，并告知驳回理由。

如有需要我们会联系您。

五、严格禁止行为

1.   以安全测试为借口，利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、恶意宣扬炒作、盗取用户数据等行为的均将不会计分。

2.   禁止利用安全缺陷/问题/情报获取大量敏感数据（包括但不限于）：

a)   账号类数据：获取50条以上账号信息或者用户私人信息；

b)   订单类数据：获取50条以上包含公民信息的敏感字段；

c)   数据库数据：获取50条以上数据库表字段内容。

3.   禁止在测试过程中影响业务正常运行（包括但不限于）：

a)   执行操作可直接影响主机/网站文件，例如 rm mv 篡改ssh authorized_keys等；

b)   直接写入大量脏数据影响业务正常用户使用的；

c)   直接在主机/网站中植入恶意后门、木马、挖矿、DDoS 等文件的。

4.   禁止保存、分享通过安全缺陷/问题/情报获取到的数据信息（包括但不限于）：

a)   禁止 Fork 、下载留存、分享 GIT 等途径泄露的信息文件（需在验证敏感性完成后及时进行删除操作）；

b)   禁止未经 HSRC 官方允许，擅自对外公布所发现的安全缺陷/问题/情报细节、展示其中包含的敏感数据内容。

5.   发现在测试中存在以上严格禁止行为的相关处置方法：

a)   涉及的安全缺陷/问题/情报将不计分；

b)   除不计分外涉及的白帽子账号（积分冻结）三个月；

c)   除不计分外涉及的白帽子账号（积分冻结）六个月；

d)   超过三次，除不计分外涉及的白帽子账号积分做归零处置。

6.   特别注意：对于恶意利用安全缺陷/问题/情报，窃取敏感数据、影响业务正常运行等违规操作，除上述第五点处置外，哈啰安全将依照法律法规，对此类行为进行惩处。

六、注意事项

1.   恶意报告者将作封号处理。

2.   报告无关问题的将不予答复。

3.   哈啰出行员工不得参与或通过朋友参与漏洞奖励计划。

4.   奖励计划仅适用于通过HSRC报告漏洞的用户。

5.   漏洞奖励计划最终解释权归HSRC所有。

七、评分标准原则

1.   评分标准仅适用于哈啰出行公司产品和业务。与哈啰出行公司完全无关的漏洞，均不计分。

2.   对于非哈啰出行公司自身发布的产品和业务，如哈啰出行公司的投资公司、合资公司、合作区业务，按照漏洞评估标准定级，按照情报标准给分，且不保证能按照预定时间处理。

3.   同一个漏洞源产生的多个漏洞计漏洞数量为一。例如同一个 JS 引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个安全漏洞等。

4.   各等级漏洞的最终哈啰币数量由漏洞利用难度及影响范围等综合因素决定，若漏洞触发条件非常苛刻，包括但不限于特定浏览器才可触发的XSS漏洞，则可跨等级调整贡献值数量。

5.   在漏洞未修复之前，被公开的漏洞不计分。

6.   报告网上已公开的漏洞不计分。

7.   同一份报告中提交多个漏洞，只按危害级别最高的漏洞计分。

8.   同一漏洞，首位报告者计贡献值，其他报告者均不计。

9.   确认为非生产环境（比如测试平台）的漏洞，严重等级降级处理。

八、争议处理

在漏洞报告处理过程中，如果报告者对流程处理、漏洞定级、漏洞评分等有异议的，可通过一下方式联系HSRC工作人员进行及时有效的沟通：

1.  客服邮箱：hsrc@hellobike.com

2.  微信公众号