尊敬的各位白帽子们:
小红书安全响应中心自上线以来,得到了广大白帽子的踊跃参与支持,小红书SRC在此表示真诚的感谢!
为了提供更好的服务及使用体验,小红书SRC平台将于 2024年7月18日-2024年8月1日进行改版与系统升级,平台在此期间将暂停服务,请各位白帽子请勿在此期间进行漏洞测试。平台将计划于8月1日重新上线和恢复漏洞测试活动,如有变动,将另行通知。各位白帽们6月份兑换的现金奖励与实物礼品平台将在本月20日完成发放。
在此期间,如有高风险漏洞和高价值安全情报提交,请通过邮箱进行提交:[email protected]。给您带来的不便,敬请谅解。
对于恶意网络攻击的行为,公司将保留追究法律责任的权力。
版本更新信息:
|
版本号
|
修订内容
|
发布日期
|
|
V2.0
|
更新测试规范、漏洞评级的评级标准、业务等级、FAQ。
|
2024.03.26
|
|
V1.0
|
发布第一版/SRC上线版本《
小红书安全响应中心漏洞报告处置规则V1.0
》。
|
2023.08.09
|
小红书安全响应中心漏洞报告处置规则V2.0
一 基本原则
1.小红书非常重视产品和业务的安全问题,小红书安全响应中心(以下称“我们”)欢迎白帽子、安全研究员及广大用户向我们反馈产品及业务的安全漏洞,以帮助我们提升产品安全性。我们希望借助小红书安全响应中心作为平台,加强与安全各方的合作及交流。
2.对您提交的每一份报告,我们会指定专人跟进、分析和处理,并及时予以反馈。同时对每一位帮助发现小红书安全风险的白帽子,我们将给予以感谢和回馈。
3.
小红书反对一切以安全测试为借口,
利用安全漏洞损害用户利益的黑客行为,包括但不限于利用安全漏洞盗取或篡改用户隐私及虚拟财产、入侵业务系统、影响业务运作、窃取用户数据、恶意传播漏洞
等违法行为的,
我们将不予奖励,并保留进一步追究法律责任的权利
。
4.未经授权任何人不得对外披露漏洞/情报细节(包括但不限于在第三方平台上存储、传播或讨论漏洞/情报详情),或利用漏洞获利。
5.您在“小红书安全响应中心”平台兑换奖励所产生的个税,将由平台统一承担。您应知悉平台为您代扣代缴的个税,属于综合所得的部分,将体现在个人所得税年度汇算中。
6.当您在“小红书安全响应中心”平台进行实物兑换时,为确保奖品顺利邮寄到您手中,平台将收集您的姓名、邮寄地址、联系方式等信息。这些信息是平台向您寄送奖励的必要信息,若您拒绝提供,平台将无法完成礼品发放。
7.当您在“小红书安全响应中心”平台兑换现金奖励时,我们需额外收集您的的银行卡信息(用于转账打款)及身份证号码(用于个税登记和扣缴)。若您拒绝提供,相关款项将无法完成支付。
8.
若您使用我们的服务,或者以其他任何明示或者默示方式表示接受本协议的,均视为您已阅读并同意
《小红书安全响应中心用户协议》:
https://agree.xiaohongshu.com/h5/terms/ZXXY20230710002/-1
二 适用范围
适用于小红书所有开放在互联网的应用系统,包括但不限于*.xiaohongshu.com等。
注:
security.xiaohongshu.com 域名仅收取高危及以上漏洞
CDN域名多为用户上传使用,请勿对其进行扫描,CDN域名信息泄漏类漏洞暂不收取,包括但不限于:
qimg.xiaohongshu.com
picasso-static.xiaohongshu.com
*.xhscdn.com
*.xhscdn.net
以下系统因业务调整,暂不收取:
rl.xiaohongshu.com
eva.xiaohongshu.com
nebula.xiaohongshu.com
jingwei.xiaohongshu.com
情报类漏洞请参见:
小红书安全响应中心业务情报定级标准V1.0
隐私合规类漏洞请参见:
小红书安全响应中心隐私漏洞报告评分规则V1.1
三 测试规范
1.禁止进行可能引起业务异常运行的测试,包括但不限于任何类型的网络拒绝服务测试(DoS或DDoS)等。
2.禁止进行内网渗透测试行为,例如:获取内网权限后在内网使用扫描器、或横向接触非对外开放系统目标、获取内网应用/主机权限/数据等。
3.禁止下载、保存、传播与业务相关的敏感数据,包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料、登陆凭证等,若存在不知情的下载行为,需及时说明和删除;测试过程中获取的相关代码/数据,务必在SRC漏洞确认后立即删除,不得非法留存及使用。
4.禁止进行近源攻击或者黑客物理入侵、社会工程学测试或邮件钓鱼等非技术漏洞测试,尤其是禁止使用社工库等非法手段获取用户密码。
5.
测试越权漏洞时,读取的真实数据不能超过5组,严禁进行批量读取;涉及到线上业务的增删改操作时,
请勿直接对正常用户数据做操作
。
6.
注入漏洞严禁读取表内数据,对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。SQL盲注类漏洞,严禁使用高数值的sleep等函数进行测试,请使用能证明漏洞存在的最小数值进行测试;涉及主站操作的,需提前向XHSSRC官方报备。
7.存储型XSS漏洞,应插入采用无害化测试,禁用弹窗(alert等),推荐使用console.log进行输出。蠕虫类漏洞测试必须严格测试传播范围,仅限测试账号,如无法确认测试范围,请提前向XHSSRC官方进行报备,获得批准后才能测试。盲打类XSS,仅允许携带域名基本信息进行测试。含有侵入性的XSS测试后必须清除测试的数据,如无法清除或无法确认插入点,需在漏洞报告内加以说明。
8.测试过程中若使用了非自己的账号(如小红书员工、商家账号),请在报告中主动告知,恶意隐瞒将有可能被收回漏洞奖励。
9.小红书员工不得参与或变相参与漏洞奖励计划, 如发现是小红书员工参与该活动,我们有权不给予奖励并收回已给予的奖励,同时封禁平台账号。
10.以
安全测试为借口,利用安全漏洞进行损害用户利益、影响业务运作、盗取用户数据等违法行为的,我们
将保留进一步追究法律责任的权利。
四 漏洞评级标准
【严重】
1.
直接获取生产环境核心服务器权限的漏洞,包括但不限于上传Webshell、任意代码执行、远程命令执行等可以获取系统权限的漏洞。
2.
严重的逻辑设计或流程缺陷,包括但不限于批量修改任意账号密码、任意金额支付/充值(需满足无利用限制,可提现)和可实际造成巨额经济损失的漏洞,小红书主账号任意劫持等。
3.
严重的信息泄露漏洞,包括但不限于大量用户严重敏感身份信息泄露(证明可获取数据十万以上,且至少包含3个敏感字段:姓名/身份证、银行卡信息、手机号/邮箱、密码、地址)等。
【高危】
1.
直接获取测试服务器权限的漏洞,包括但不限于上传Webshell、任意代码执行、远程命令执行等可以获取系统权限的漏洞。
2.
敏感操作的越权、未授权访问,可获得大量敏感信息,包括但不限于绕过认证获取管理员权限、管理员弱口令等。
3.
可访问小红书内网且有完整回显的无限制的SSRF漏洞。
4.实际可利用(需证明可获取数据库名或者当前用户名)的SQL注入漏洞。
5.核心系统可自动传播的存储型XSS漏洞。
6.涉及金额的逻辑设计或流程缺陷,包括但不限于任意金额支付/充值、修改任意账号密码等。
7.
其它可造成大范围用户敏感身份信息泄露的漏洞(至少包含3个敏感字段:姓名/身份证、银行卡信息、手机号/邮箱、密码、地址)等。
8.无需交互的客户端本地任意文件读写、本地代码执行等漏洞。
9.造成客户端本地敏感信息泄露的漏洞,包括但不限于越权、命令执行的利用。
【中危】
1.一般操作的越权、未授权访问,包括但不限于越权修改个人资料、越权取消/删除订单
2.无完整回显或有限制的SSRF漏洞
3.无法获取数据库或者当前用户名的SQL注入漏洞
4.需要交互后才能获取用户敏感信息的漏洞,包括但不限于
需要用户点击的WebView组件漏洞/deeplink
5.
具有实际危害的存储型XSS漏洞
6.可造成一定危害的逻辑漏洞等
【低危】
1.影响较小的越权、未授权操作,包括但不限于越权收藏商品、越权添加购物车等。
2.无回显的SSRF漏洞
3.
可造成一定危害的反射及DOM型XSS漏洞,不包含Self型XSS
4.含敏感信息的JSONP劫持
5.危害有限的信息泄漏
6.
包括但不限于任意手机号无限制的短信轰炸(不包含横向短信轰炸)
7.客户端Dll Hijacking及同类型漏洞
8.无法被进一步利用的host碰撞等
9.包含敏感信息企业内部非公开文档泄露
【无】
1.CSRF漏洞。
2.
无实际危害的信息泄漏,包括但不限于无法利用的swagger/druid和无敏感信息的actuator/
Prometheus
端点开放、网站路径
泄露、
内网数据库密码、pprof泄露、内网IP泄漏、js.map泄漏、无意义的源代码泄露、系统/组件版本号泄露等。
3.
其它无法实际利用的漏洞,包括但不限于基本版本策略的扫描器输出报告、用户名枚举、HTTP明文传输、无意义的CORS劫持漏洞、401基础认证钓鱼、参数无法遍历的越权/未授权访问、HTML注入、无法解析的任意文件上传、
无利用价值的Crash
等。
4.无实际生产环境信息的未授权访问/权限绕过
5.
pdf xss/self xss漏洞暂不收取
6.并发导致的短信轰炸、邮箱轰炸等,且后端有风控限制、速率控制等机制
7.运营预期之内或无法造成资金损失的问题、符合业务预期的产品设计,包括但不限于可使用多个账号领取小额奖励的正常业务活动。
8.无实际安全问题的BUG
9.
相关组件Nday漏洞,小红书已知的,暂不做接收
10.其他轻微漏洞(
包括但不限于URL任意跳转、客户端本地拒绝服务、邮件轰炸
)
补充说明
1.涉及以下场景,漏洞会做降级处理:
a.越权及未授权访问等漏洞,请求所涉及的参数无法简单遍历,如id为超长位的数字;
b.利用门槛过高,包括但不限于6位验证码短时间爆破等;
c.实际危害有限,如log4j2远程代码执行漏洞只能通过dnslog外带信息,无法执行命令,定为中危;
d.需要用户交互的,如客户端one-click远程代码执行
e.需通过非默认配置/替换资源文件触发的客户端漏洞
f.影响范围小,如某些系统用户只有几十个、旧系统/测试系统仅有少量测试数据
2.同一个漏洞源产生的多个漏洞计算为一个漏洞,包括但不限于同一个JS引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、同一个功能处的相似漏洞(如收货地址处的越权修改、查询、删除)等。
3.同一个系统短时间内发现了大量同类型漏洞(如SQL注入、越权、未授权等),默认只收取前三个,后续提交将忽略处理。
4.多个漏洞报告若存在前后关联的,如通过弱口令进入管理后台发现SQL注入、XSS等,将视为一个漏洞,并以其中危害最高的漏洞定级。
5.针对突发的0day漏洞,若无特殊说明,内部应急处理完之前仅收取第一个漏洞。
6.
对于由使用
第三方SDK
或
库导致的
的客户端漏洞
,且能够
通过升级或
替
换第三方SDK或库解决的漏洞,仅收取第一个报告的漏洞。
但
若
在三
个月后
仍
存在该漏洞(以首个报告收取日为起始时间),可再次反馈提交。
7.
不接收间接危害或猜测危害,实际危害由审核与业务确认,实际危害有限的漏洞进行降级处理。
8.内部已知漏洞做忽略处理,包括但不限于内部安全人员已经发现的漏洞、内部专项处理类漏洞、已有其他白帽子优先提交的漏洞。
五 漏洞奖励标准
小红书安全响应中心将结合
利用场景中漏洞的危害程度、业务重要程度等综合因素给予相应金币和贡献值。
|
应用等级
|
业务范围
|
|
核心应用
|
小红书APP及Web端
|
|
一般应用
|
to B/C的主营业务:小红书商家后台(ark)APP及Web端、聚光平台(ad)、蒲公英(pgy)、专业号(pro)、创作服务平台(creator)、商家入驻系统(gaia)、直播管理平台(redlive)Web及桌面客户端
内部核心系统:OA、邮箱、SSO、CRM等其它重要管理系统
|
|
边缘应用
|
to B/C的非主营业务及内部其它系统
|
1.
安全币奖励对应表(注:1安全币=1RMB,均为税后)
|
漏洞等级
|
边缘应用
|
一般应用
|
核心应用
|
|
低危漏洞
|
50-70
|
80-120
|
150-250
|
|
中危漏洞
|
300-500
|
500-700
|
800-1200
|
|
高危漏洞
|
750-1250
|
1500-2000
|
2000-3000
|
|
严重漏洞
|
1500-2500
|
2500-3500
|
4000-6000
|
2.
贡献值对应表
积分 * 对应系数 = 贡献值
|
危害等级
|
对应积分
|
贡献系数
|
|
边缘应用
|
一般应用
|
核心应用
|
|
低危
|
1-3
|
1
|
2
|
3
|
|
中危
|
4-6
|
5
|
11
|
17
|
|
高危
|
7-9
|
16
|
33
|
50
|
|
严重
|
10-12
|
33
|
66
|
100
|
六 常见问题
1.关于争议漏洞的处理
尊敬的白帽们如果
在
对漏洞
提交的过程中有所疑问或者
争议
,可通过小红书安全响应中心微信公众号或向官方邮箱 [email protected] 发送电子邮件来向我们进行反馈,我们将根据漏洞报告者利益优先的原则进行恰当而有效的处理。
2.
现金与实物奖励兑换
基本信息
:
如兑换礼品为现金奖励,为了确保您能如期收到奖励,需在小红书SRC中
个人中心-我的个人信息-财务信息
中补充个人财务信息。如兑换礼品为实物礼品,需要小红书SRC中
个人中心-我的个人信息
补充收货地址。兑换时请确认个人身份信息、财务信息准确,如因个人信息缺失/填写错误的导致的发放问题,由白帽子自行承担损失。
提现须知:
奖励发放时间为
每月的20号左右(节假日顺延)
,当月发放SRC平台
上月
完成兑换的奖励,如为首次兑换现金,须在奖励发放日前后收到签约短信后完成后续提现签约流程(
https://security.xiaohongshu.com/index.php?m=&c=page&a=view&id=10
)。
3.漏洞被忽略/忽略的漏洞被修复
小红书SRC秉承公平、透明的原则,所有被忽略的漏洞都会给出合理的对应忽略理由;如出现非重复的漏洞忽略后被修复,很有可能是由于业务本身产生的变动导致”漏洞“不存在或业务方认定该提交信息为
bug/feature
而非
vulnerability。
但是不论如何,小红书都不会”偷偷修复漏洞“。
本标准所有内容最终解释权归小红书安全响应中心所有。
如您对本标准有任何的建议,欢迎通过
小红书安全响应中心微信公众号或向官方邮箱 [email protected]
方式向我们反馈。
版本更新信息
一、前言
小红书安全响应中心紧跟法律法规要求,希望通过安全众测提升内部合规能力
。
小红书反对和谴责损害公司利益的行为,未经允许请勿在任何公众场合或平台讨论或披露隐私漏洞的细节,不得向任何第三方透露隐私漏洞
。
如有上述行为,小红书将有权追究其法律责任
。
二、适用范围
业务范围:小红书
App
、小红书商家版
App
及对应小程序。
*
小红书
App
为核心应用。
三、
提交限制
(一)来源合规性
APP
必须从正规
APP
应用市场或小红书官方渠道获取,且为当时该
APP
的最新版本。
*
补充说明:
若同一产品在各应用市场版本不一致,则以最新版本号为准;
若在
XHSSRC正式提交漏洞报告前,此窗口期内APP更新了版本,则应以新发布版本为准。
(二)名词标准化
隐私风险中名词的定义和内容参考
GB/T 35273-2020
《信息安全技术个人信息安全规范》。
(三)
及时度要求
测试结果请在
第一时间提交至
XHSSRC
,已经对外公开的隐私漏洞不在收取范围内。
四、
漏洞评分细则
根据隐私漏洞发现的难易程度、影响等维度,将隐私漏洞分为严重漏洞、高危漏洞、中危漏洞及低危漏洞。
(一)漏洞定级
|
漏洞等级
|
范围描述
|
|
严重
|
问题新颖且行业内罕见,漏洞需要有复杂的技术发现与鉴别,且对用户敏感信息或者权限会造成重大影响。
|
|
高危
|
既未经用户同意,也未做匿名化
/
加密处理,
App
客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码(
SDK
)、表单、插件等方式向第三方提供个人信息。
|
|
中危
|
漏洞的发现与鉴别需一定技术即可以发现,且对用户的信息或者权限会造成一定影响。包括但不限于:
1
、 同意隐私政策前收集个人信息或打开个人信息权限;
2
、收集的频率超出其实现产品或服务的业务功能所必需的最低频率;
3
、强制定向推送信息;
4
、收集的个人信息范围超出了隐私政策中描述的范围;
5
、无隐私政策或隐私政策难以访问(如进入
APP
主界面,需多于
4
次点击等才能访问到)。
|
|
低危
|
漏洞的发现与鉴别无需技术或者简单技术即可以发现,且会对用户的信息或者权限造成影响。包括但不限于:
1
、 隐私政策不完整:
1
) 未告知反馈渠道;
2
)未告知个人信息处理目的、方式等;
3
)未告知个人权利行使路径。
2
、非服务所必须或无合理需求,提前向用户申请权限;
3
、 欺骗强迫用户下载且无法关闭或停止;
4
、
APP
频繁索权,用户拒绝权限申请后,在非用户主动触发权限所涉及的业务场景的情况下,再次弹出权限弹窗即为频繁。
*
说明:仅以静态扫描
Manifest.xml
结果作为缺少隐私声明依据,但没有提供
APP
实际调用记录的漏洞,认定为无效漏洞。
|
特殊说明:
-
相同类型隐私漏洞在同一
APP
中发现的,按照一个漏洞评定和给予奖励;
-
相同类型隐私漏洞在同一
APP
中发现的,第一个报告者获得奖励,后续报告者不再奖励;
-
相同类型隐私漏洞在多个
APP
中发现的,请合并一个漏洞报告提交,我们会根据漏洞具体情况给予额外奖励。
(二)漏洞忽略
一般情况下,该类问题判断所依据的法律、法规和标准中的相关要求处于暂未发布施行的状
态(如草稿、征求意见稿、未实施),或已发布但只面向部分行业生效或暂未实质推行(如
面向部分行业的推荐性标准只针对对应行业生效),隐私政策中错别字问题(持续更新)。
(三)隐私漏洞报告要求
提交漏洞报告时,需提供完整检测信息,包括:
基础信息:名称、
APP来源、版本号
测试信息:测试工具
复现信息:复现路径、隐私风险证明及清晰截图证据
*
其中截图证据必须至少包括问题所在
界面、接口、调用栈
。
日志信息:
技术类隐私漏洞需提供有效的日志类信息,包括但不限于:
完整的测试堆栈信息
其网络流量抓包截图或其他日志文件。
*
说明:对于无需技术手段即可发现的风险(如:信息窗口未提供显著的关闭或退出选项)可不提供接口、调用栈信息。
其他说明
只提交检测平台、检测工具类的结果截图类证据将不被接受。
仅以静态扫描
Manifest 结果为依据提交的缺少相关隐私声明的漏洞,但没有提供实际调用记录的,确认为低危,有调用记录的,确认为中危。
仅提供
SDK列表截图,白帽子提示SDK列表不全以外,还应当补充提交关于SDK实际传输了数据给第三方的证据。否则不予通过,为忽略。
五、奖励标准
|
漏洞级别
|
对应安全币
|
|
严重
|
1500~2000
|
|
高危
|
800~1200
|
|
中危
|
300~500
|
|
低危
|
50~150
|
六、参考标准
全国人大常委会《中华人民共和国网络安全法》
全国人大常委会《中华人民共和国个人信息保护法》
国家标准
GB/T 35273-2020《信息安全技术 个人信息安全规范》
全国信息安全标准化技术委员会《网络安全标准实践指南
—移动互联网应用程序(App)个人信息保护常见问题及处置指南》
全国信息安全标准化技术委员会《网络安全标准实践指南
—移动互联网应用程序(App)收集使用个人信息自评估指南》
全国信息安全标准化技术委员会《移动互联网应用程序(
APP)系统权限申请使用指南》
App专项治理工作组《App违法违规收集使用个人信息自评估指南》
APP专项治理工作组《App申请安卓系统权限机制分析与建议》
四部委《
App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)
工业和信息化部《关于开展纵深推进
APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)
工业和信息化部《关于开展互联网行业市场秩序专项整治行动的通知》(工信部信管函〔
2021〕165号)
近日,小红书安全响应中心(XHSSRC)收到了来自CertiK SkyFall 团队的安全风险预警。小红书安全团队于第一时间进行了评估与响应,并迅速联合相关团队完成修复。及时规避了潜在的损失风险。
小红书安全响应中心在此衷心感谢 CertiK Skyfall 团队给予我们的帮助与支持。
小红书平台始终以用户为核心,为确保小红书平台万千用户的网络安全,我们将持续不断地加强技术力量投入,并与CertiK SkyFall等安全团队加强合作,提升小红书平台安全水位,共建互联网安全生态。
小红书网络安全团队
Hello~各位师傅,目前小红书SRC正在发放上月兑换的SRC奖励,8月成功提交过兑换订单的师傅会收到一条短信(来自
HiWork
),需要您与打款平台进行签约,
完成签约
后才可以打款哦。如果您没有收到短信,可以查看历史收件箱或是否被拦截。如有问题可微信联系
【小红书安全响应中心】
公众号,感谢各位师傅的配合!
以下为签约操作流程:
收到来自【HiWork】的签约短信后,可以首先确认短信中的姓名是否与自己的身份信息一致,然后点击短信中附带的链接进入签约界面。(真的不是诈骗短信,未收到的师傅可以看看是否被自己忽略或者进入拦截短信箱了)
签约主体为【海南众合天下科技有限公司】,点击最下方的【签署并提交】。
签署完成后如图,到这一步所有的操作就已经完成了,不需要去完善信息!不需要去完善信息!不需要去完善信息!(重要的事情说三遍)。
大家签署完成后静待打款即可~
QA
Q:点击签署并提交提示我请勿重复提交怎么办?
A:出现这种情况,一般是之前已经完成过签署了,直接等待打款即可。
Q:完成签约后多久款项能够到到账?
A:一般为T+1,即今天完成签约次日到账,但是由于白帽子众多,需要所有师傅都完成了签约才会发放。
Q:SRC提现之后每个月打款需要得签约一次吗?
A:对于同一自然人,签约一次即可,之后每次打款不再需要签署。
Q:我提现的奖金一般什么时候发放?
A:小红书SRC一般会在次月的20号发放上个月兑换的奖金(统计截止时间为上月的最后一天)
业务情报范围
●
提供小红书批量恶意账号注册、有组织的进行薅羊毛等行为的关键线索
●
提供泄露小红书内部信息、用户数据等行为的关键线索,网盘、GitHub等第三方分享或泄露小红书相关敏感文件、重要数据等
●
提供小红书刷量行为的关键线索,如:关注、收藏、点赞、评论、阅读量、播放量等
●
提供小红书直播类作弊行为的关键线索,如:刷赞、刷粉、抢红包、活动抽奖等
●
提供小红书支付类作弊行为的关键线索,如:苹果IOS代退款、店铺超期赔付等
●
提供小红书游戏类作弊行为的关键线索,如:游戏外挂、做任务脚本等
情报等级评审标准
1)严重情报
●
对核心业务、系统、办公网络造成重大影响,或对集团造成大量资金损失的威胁情报。例如:超过百万级的用户敏感数据数据泄漏事件。
2)高危情报
●
对核心业务、系统、办公网络造成较大影响,或对集团造成较大资金损失的威胁情报。例如:
○
重大活动、电商活动、交易环节漏洞导致潜在重大资金损失或者舆情事件。
○
涉政类笔记信息严重违法国家法律的,且传播较广。
○
有组织的进行薅羊毛行为(参与人员多或者有专门群组组织、提供软件或脚本操作),造成较大的经济损失
3)中危情报
●
对核心业务、系统、办公网络造成一定影响,或对集团造成一定资金损失的威胁情报。例如:因业务规则缺陷导致被批量刷优惠券行为。
4)低危情报
●
对业务、系统、办公网络造成轻微影响的威胁情报,例如:破解版移动端APK
5)无效情报
●
无效情报是指错误、无意义或根据现有信息无法调查利用的威胁情报,例如:
○
由Auto.js、E4A、hamibot、按键精灵等框架开发的完全模拟用户点击操作的脚本工具不予收录。
○
上报虚假捏造或人为制造情报信息的
○
接码平台和发卡平台售卖小红书接码服务的不收录
○
上报单个或少量用户的非业务规则问题导致的刷量行为
○
上报已发现或失效情报的
○
众包任务平台涉及小红书的众包任务信息不收录
○
小红书惊喜盒子类别薅羊毛信息不收录
○
去水印类小红书素材提取工具不收录
○
小红书上色情擦边类信息不收录,但是涉及利用小红书各种产品功能,组织群聊、话题等有组织成规模传播和组织约炮、色情交易等线索可酌情收录
○
CSDN、GitHub等技术网站涉及小红书的爬虫类、逆向破解类信息不收录
○
淘宝、闲鱼等涉及小红书账号、流量作弊交易类信息不收录
○
上报可能刷量、引流的QQ群号、刷量站点或黑产群发的广告信息,但未提供刷量证据明细(具体账号id、笔记id等样本)的
○
上报情报中未包含攻击路径和攻击方法说明或表述不清,逻辑不通
○
仅提供外部存在刷单/刷分/刷评服务,未提供证据的情报(必须包含可查验到的刷手真实订单、刷手账号、详细行为手法)
○
单个电子面单截图反馈的数据泄露线索无效;若为后台截图,未提供准确截图时间的线索无效
○
涉及数据泄露的情报,请至少提供20条有效样本,需要包含可追溯的身份字段,比如小红书号、userid、订单号、手机号、身份证号等,如果捕获到数据售卖线索,需要提供卖家联系方式,完整聊天记录和收款方式,未达到此要求将忽略
○
涉及滥用CDN存储类情报,需要提供黑灰产上传资源的工具、路径或第三方平台,单个或批量的恶意资源链接,除色情/涉政内容以外,均不收取。
6)降级场景
此类场景下,相应情报会降低威胁等级:
●
情报完整性较低的情报
●
后台显示订单创建超过90天的数据泄露情报
●
有刷单/刷量等风控策略绕过行为,但算法会陆续覆盖或有其他风控策略兜底的情况
7)特殊说明
情报完整性是情报评分的重要依据
,提交威胁情报时,应包含所提交情报场景所对应的关键线索
(威胁来源、攻击路径、攻击方法、风险类型、发生时间、损失预估)
|
威胁来源
|
情报涉及到的威胁人员,能够帮助SRC对事件溯源分析、事件扩散面分析,帮助定位到入侵者个体或组织的信息;
|
|
攻击路径(必须提供项)
|
实施攻击的个人或组织所攻击的具体页面或接口;
|
|
攻击方法(必须提供项)
|
情报涉及的作弊或攻击所使用的技术手段、流程步骤或工具等;
如果能提供详细的技术分析,可酌情加分,视分析难度、分析结果完整性决定;
|
|
风险类型
|
简要分析情报所涉及的主要问题,如:数据泄露、漏洞、刷关注、刷单等 ;
|
|
发生时间
|
攻击发生所在的时间,如从XX时间开始,到XX时间结束; 针对作弊工具,可以描述该作弊工具最早出现的时间;
|
|
损失预估
|
情报所提及的事件有多大规模,比如:预估有多少人参与了某次作弊;
情报所涉及的攻击已造成的损失,比如:刷了XX个赞、注册了XX个账号,薅取了多少金额等;
针对作弊工具,可以描述该工具在黑灰产中的使用范围,比如预计有多少黑灰产在使用;
|
一、前言
小红书安全响应中心紧跟法律法规要求,希望通过安全众测提升内部合规能力 。
小红书反对和谴责损害公司利益的行为,未经允许请勿在任何公众场合或平台讨论或披露隐私漏洞的细节,不得向任何第三方透露隐私漏洞 。
如有上述行为,小红书将有权追究其法律责任 。
二、适用范围
业务范围:小红书App 、小红书商家版App及对应小程序。
* 小红书App 及 小红书商家版App 为核心应用。
三、 提交限制
(一)来源合规性
APP必须从正规APP应用市场或小红书官方渠道获取,且为当时该APP的最新版本。
* 补充说明:
若同一产品在各应用市场版本不一致,则以最新版本号为准;
若在XHSSRC正式提交漏洞报告前,此窗口期内APP更新了版本,则应以新发布版本为准。
(二)名词标准化
隐私风险中名词的定义和内容参考GB/T 35273-2020《信息安全技术个人信息安全规范》。
(三) 及时度要求
测试结果请在
第一时间提交至 XHSSRC
,已经对外公开的隐私漏洞不在收取范围内。
四、给分规则
- 相同类型隐私漏洞在同一APP中发现的,按照一个漏洞评定和给予奖励;
- 相同类型隐私漏洞在同一APP中发现的,第一个报告者获得奖励,后续报告者不再奖励;
- 相同类型隐私漏洞在多个APP中发现的,请合并一个漏洞报告提交,我们会根据漏洞具体情况给予额外奖励。
五、 漏洞评分细则
根据隐私漏洞发现的难易程度、影响等维度,将隐私漏洞分为严重漏洞、高危漏洞、中危漏洞及低危漏洞。
(一)漏洞列表
|
漏洞等级
|
范围描述
|
|
严重
|
问题新颖且行业内罕见,漏洞需要有复杂的技术发现与鉴别,且对用户敏感信息或者权限会造成重大影响。
|
|
高危
|
既未经用户同意,也未做匿名化/加密处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码(SDK)、表单、插件等方式向第三方提供个人信息。
|
|
中危
|
漏洞的发现与鉴别需一定技术即可以发现,且对用户的信息或者权限会造成一定影响。包括但不限于:
1、 同意隐私政策前收集个人信息或打开个人信息权限;
2、收集的频率超出其实现产品或服务的业务功能所必需的最低频率;
3、强制定向推送信息;
4、收集的个人信息范围超出了隐私政策中描述的范围;
5、无隐私政策或隐私政策难以访问(如进入APP主界面,需多于4次点击等才能访问到)。
|
|
低危
|
漏洞的发现与鉴别无需技术或者简单技术即可以发现,且会对用户的信息或者权限造成影响。包括但不限于:
1、 隐私政策不完整:
1) 未告知反馈渠道;
2)未告知个人信息处理目的、方式等;
3)未告知个人权利行使路径。
2、非服务所必须或无合理需求,提前向用户申请权限;
3、 欺骗强迫用户下载且无法关闭或停止;
4、 APP频繁索权,用户拒绝权限申请后,在非用户主动触发权限所涉及的业务场景的情况下,再次弹出权限弹窗即为频繁。
* 说明:仅以静态扫描Manifest.xml 结果作为缺少隐私声明依据,但没有提供APP实际调用记录的漏洞,认定为无效漏洞。
|
漏洞奖励标准参考:《小红书安全响应中心漏洞报告处置规则V1.0》
(二)漏洞忽略
一般情况下,该类问题判断所依据的法律、法规和标准中的相关要求处于暂未发布施行的状 态(如草稿、征求意见稿、未实施),或已发布但只面向部分行业生效或暂未实质推行(如 面向部分行业的推荐性标准只针对对应行业生效),隐私政策中错别字问题(持续更新)。
(三)隐私漏洞报告要求
提交漏洞报告时,需提供完整检测信息,包括:
基础信息:名称、APP来源、版本号
测试信息:测试工具
复现信息:复现路径、隐私风险证明及清晰截图证据
*
其中截图证据必须至少包括问题所在
界面、接口、调用栈
。
日志信息:
技术类隐私漏洞需提供有效的日志类信息,包括但不限于:
完整的测试堆栈信息
其网络流量抓包截图或其他日志文件。
*
说明:对于无需技术手段即可发现的风险(如:信息窗口未提供显著的关闭或退出选项)可不提供接口、调用栈信息。
其他说明
只提交检测平台、检测工具类的结果截图类证据将不被接受。
仅以静态扫描Manifest 结果为依据提交的缺少相关隐私声明的漏洞,但没有提供实际调用记录的,确认为低危,有调用记录的,确认为中危。
仅提供SDK列表截图,白帽子提示SDK列表不全以外,还应当补充提交关于SDK实际传输了数据给第三方的证据。否则不予通过,为忽略。
六、参考标准
全国人大常委会《中华人民共和国网络安全法》
全国人大常委会《中华人民共和国个人信息保护法》
国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》
全国信息安全标准化技术委员会《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》
全国信息安全标准化技术委员会《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》
全国信息安全标准化技术委员会《移动互联网应用程序(APP)系统权限申请使用指南》
App专项治理工作组《App违法违规收集使用个人信息自评估指南》
APP专项治理工作组《App申请安卓系统权限机制分析与建议》
四部委《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)
工业和信息化部《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)
工业和信息化部《关于开展互联网行业市场秩序专项整治行动的通知》(工信部信管函〔2021〕165号)
完整清晰的漏洞报告有助于审核人员快速定位问题,并将影响漏洞最终给分。请白帽子们在提交安全报告时,注意包含以下内容,如缺乏必要信息将做忽略处理:
【漏洞名称】包含影响域名或应用、具体功能(如有)、漏洞类型
标准示范:
xxx
.xiaohongshu.com修改个人资料处
-
存在水平越权漏洞
错误示范:短信轰炸、小红书后台越权、某系统信息泄漏
【漏洞描述】
1.
漏洞范围:包含漏洞的入口、涉及的URL、参数、应用版本,若资产为IP,需证明该资产
属于
小红书
2.
复现过程:按步骤对漏洞进行复现,并在过程中体现漏洞的影响和危害,一般以文字及截图(截图需清晰)形式,建议附上漏洞数据报文
3.
修复方案:请提供可执行的修复建议
一 基本原则
1.小红书非常重视产品和业务的安全问题,小红书安全响应中心(以下称“我们”)欢迎白帽子、安全研究员及广大用户向我们反馈产品及业务的安全漏洞,以帮助我们提升产品安全性。我们希望借助小红书安全响应中心作为平台,加强与安全各方的合作及交流。
2.对您提交的每一份报告,我们会指定专人跟进、分析和处理,并及时予以反馈。同时对每一位帮助发现小红书安全风险的白帽子,我们将给予以感谢和回馈。
3.小红书反对一切以安全测试为借口,利用安全漏洞进行损害用户利益、影响业务运作、盗取用户数据等违法行为。
4.未经授权任何人不得对外披露漏洞/情报细节(包括但不限于在第三方平台上存储、传播或讨论漏洞/情报详情),或利用漏洞非法获利。
二 适用范围
适用于小红书所有开放在互联网的应用系统,包括但不限于*.xiaohongshu.com等。
三 测试规范
1.禁止进行可能引起业务异常运行的测试,包括但不限于任何类型的网络拒绝服务测试(DoS或DDoS)等。
2.禁止进行内网渗透测试行为,例如:获取内网权限后在内网使用扫描器、或横向接触非对外开放系统目标、获取内网应用/主机权限/数据等。
3.禁止下载、保存、传播与业务相关的敏感数据,包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料、登陆凭证等,若存在不知情的下载行为,需及时说明和删除;测试过程中获取的相关代码/数据,务必在SRC漏洞确认后立即删除,不得非法留存及使用。
4.禁止进行近源攻击或者黑客物理入侵、社会工程学测试或邮件钓鱼等非技术漏洞测试,尤其是禁止使用社工库等非法手段获取用户密码。
5.测试越权漏洞时,读取的真实数据不能超过5组,严禁进行批量读取;涉及到线上业务的增删改操作时,请勿直接对正常用户数据做操作。
6.注入漏洞严禁读取表内数据,对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。
7.测试过程中若使用了非自己的账号(如小红书员工、商家账号),请在报告中主动告知,恶意隐瞒将有可能被收回漏洞奖励。
8.小红书员工不得参与或变相参与漏洞奖励计划, 如发现是小红书员工参与该活动,我们有权不给予奖励并收回已给予的奖励,同时封禁平台账号。
四 漏洞评级标准
【严重】
1.直接获取核心服务器权限的漏洞,包括但不限于上传Webshell、任意代码执行、远程命令执行等。
2.严重的逻辑设计或流程缺陷,包括但不限于批量修改任意账号密码、任意金额支付/充值(需满足无利用限制,可提现),小红书主账号任意劫持等。
3.严重的信息泄露漏洞,包括但不限于大量用户严重敏感身份信息泄露(数量千万级,且至少包含3个敏感字段:姓名/身份证、银行卡信息、手机号/邮箱、密码、地址)等。
【高危】
1.直接获取服务器权限的漏洞,包括但不限于上传Webshell、任意代码执行、远程命令执行等。
2.敏感操作的越权、未授权访问,包括但不限于绕过认证获取管理员权限、非边缘系统后台登录弱口令等。
3.有完整回显且无限制的SSRF漏洞。
4.实际可利用(需证明可获取数据库名或者当前用户名)的SQL注入漏洞。
5.核心系统可自动传播的存储型XSS漏洞。
6.涉及金额的逻辑设计或流程缺陷,包括但不限于任意金额支付/充值、修改任意账号密码等。
7.其它可造成批量用户敏感身份信息泄露的漏洞(至少包含3个敏感字段:姓名/身份证、银行卡信息、手机号/邮箱、密码、地址)等。
8.客户端本地任意文件读写、本地代码执行等漏洞。
9.造成客户端本地敏感信息泄露的漏洞,包括但不限于越权、命令执行的利用。
【中危】
1.一般操作的越权、未授权访问,包括但不限于越权修改个人资料、越权取消/删除订单、边缘系统后台登录弱口令。
2.无完整回显或有限制的SSRF漏洞。
3.无法获取数据库或者当前用户名的SQL注入漏洞。
4.存储型XSS漏洞(包含对象存储上传的场景)
5.可造成一定危害的逻辑漏洞,包括但不限于任意手机号无限制的短信轰炸(不包含横向短信轰炸)等。
【低危】
1.影响较小的越权、未授权操作,包括但不限于越权收藏商品、越权添加购物车等。
2.无回显的SSRF漏洞。
3.反射及DOM型XSS漏洞,不包含Self型XSS。
4.含敏感信息的JSONP劫持。
5.危害有限的信息泄漏,包括但不限于swagger、无法利用的内网数据库密码、pprof等。
6.其它轻微漏洞,包括但不限于URL任意跳转、客户端本地拒绝服务、邮件轰炸。
【无】
1.CSRF漏洞。
2.无实际危害的信息泄漏,包括但不限于内网IP泄漏、js.map泄漏、用户名枚举等。
3.其它无法实际利用的漏洞,包括但不限于基本版本策略的扫描器输出报告、401基础认证钓鱼、参数无法遍历的越权/未授权访问等。
4.运营预期之内或无法造成资金损失的问题、符合业务预期的产品设计,包括但不限于可使用多个账号领取小额奖励的正常业务活动。
补充说明
1.涉及以下场景,漏洞会做降级处理:
a.越权及未授权访问等漏洞,请求所涉及的参数无法简单遍历,如id为超长位的数字;
b.利用门槛过高,包括但不限于6位验证码短时间爆破等;
c.实际危害有限,如log4j2远程代码执行漏洞只能通过dnslog外带信息,无法执行命令,定为中危;
d.需要用户交互的,如客户端one-click远程代码执行。
2.同一个漏洞源产生的多个漏洞计算为一个漏洞,包括但不限于同一个JS引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、同一个功能处的相似漏洞(如收货地址处的越权修改、查询、删除)等。
3.同一个系统短时间内发现了大量同类型漏洞(如SQL注入、越权、未授权等),默认只收取前三个,后续提交将忽略处理。
4.多个漏洞报告若存在前后关联的,如通过弱口令进入管理后台发现SQL注入、XSS等,将视为一个漏洞,并以其中危害最高的漏洞定级。
5.针对突发的0day漏洞,若无特殊说明,内部应急处理完之前仅收取第一个漏洞。
6.内部已知漏洞做忽略处理,包括但不限于内部安全人员已经发现的漏洞、内部专项处理类漏洞、已有其他白帽子优先提交的漏洞。
五 漏洞奖励标准
小红书安全响应中心将结合
利用场景中漏洞的危害程度、业务重要程度等综合因素给予相应金币和贡献值。
|
应用等级
|
业务范围
|
|
核心应用
|
小红书APP及Web端、小红书商家后台(ark)APP及Web端
|
|
一般应用
|
to B/C的主营业务:聚光平台(ad)、客服管理平台(eva)、蒲公英(pgy)、专业号(pro)、创作服务平台(creator)、商家入驻系统(gaia)、直播管理平台(redlive)Web及桌面客户端
内部核心系统:OA、邮箱、SSO、CRM等其它重要管理系统
|
|
边缘应用
|
to B/C的非主营业务及内部其它系统
|
1.
安全币奖励对应表(注:1安全币=1RMB,均为税后)
|
|
边缘应用
|
一般应用
|
核心应用
|
|
低危漏洞
|
50-70
|
80-120
|
150-250
|
|
中危漏洞
|
300-500
|
500-700
|
800-1200
|
|
高危漏洞
|
750-1250
|
1500-2000
|
2000-3000
|
|
严重漏洞
|
1500-2500
|
2500-3500
|
4000-6000
|
2.
贡献值对应表
积分 * 对应系数 = 贡献值
|
危害等级
|
对应积分
|
贡献系数
|
|
边缘应用
|
一般应用
|
核心应用
|
|
低危
|
1-3
|
1
|
2
|
3
|
|
中危
|
4-6
|
5
|
11
|
17
|
|
高危
|
7-9
|
16
|
33
|
50
|
|
严重
|
10-12
|
33
|
66
|
100
|
六 常见问题
1.关于争议漏洞的处理
可通过邮箱[email protected]向我们反馈,我们将根据漏洞报告者利益优先的原则进行处理。
2.现金奖励兑换
如兑换礼品为现金奖励,为了确保您能如期收到奖励,需在小红书SRC中
个人中心-我的个人信息-财务信息
中补充个人财务信息,我们将于
每月20号
左右统一发放奖励。
