亲爱的白帽子们:
2020年3月,我们对现有的漏洞及威胁情报标准进行了更新,详情见下文:
注:白帽子即白帽黑客(以下简称:白帽)

一、目的

美团安全应急响应中心(后述简称:MTSRC)致力于解决属于本公司产品或服务中存在的安全漏洞。本则标准描述了MTSRC处理安全漏洞报告时的具体流程和做法,同时公示了对于不同类型漏洞的奖励标准,为漏洞发现者及漏洞报告者从事漏洞发现和报告的活动提供指引。

二、适用范围

属于美团及旗下所有开放在互联网的应用系统,包括:
.meituan.com、.meituan.net、.dianping.com、.neixin.cn 等。

三、版本信息

有效版本:美团安全应急响应中心(MTSRC)漏洞及威胁情报处理标准V6.0 。
MTSRC将定期对本标准进行评估,并根据评估结果进行调整。版本的更新情况我们将通过【美团安全应急响应中心】微信公众号予以告知。

四、限制与指引

MTSRC鼓励安全研究人员积极发现并向我们报告属于我司产品或服务中的安全漏洞,但同时希望您的行为遵循以下要求:
1. 请您不要在最低验证或者漏洞指标核实测试要求范畴之外利用任何安全漏洞;
2. 请您不要进行网络拒绝服务(DoS 或DDoS)测试;
3. 请您不要进行物理测试、社会工程学测试或任何其他非技术漏洞测试;
4. 请您尽量避免访问任何存储在我司信息系统内的数据,除非访问该数据为验证安全漏洞存在的必要步骤。如您在本原则允许的测试过程中发现以下信息,请立即停止测试并及时通知我们:
1)个人识别信息;
2) 金融信息(信用信息或银行账户号码信息等);
3) 企业的财产信息或商业秘密;
5. 请您不要在任何情况下泄露漏洞测试过程中所获知的任何数据;
6. 在收到我司的明确书面授权之前,请不要公开披露或提供关于我司产品或服务安全漏洞的任何细节信息,如您无法确定能否继续进行测试,请与我们联系;
7. 我们反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害美团系统及用户的利益的攻击行为,我们保留追究法律责任的权利。

五、漏洞提交与处理流程

**

1. 漏洞提交

漏洞报告者可以通过MTSRC平台(https://security.meituan.com)注册并提交漏洞,内容包括但不限于:漏洞的位置及潜在危害,复现该漏洞所需的步骤、脚本、保护解析代码,重现该问题的技术相关信息,可能的解决措施等。

**

2. 漏洞处理流程

一个工作日内:我们会及时处理白帽子提交的漏洞信息。
三个工作日内:完成漏洞的确认、定级、及奖励金额评测。一旦提交的漏洞被确认,漏洞提交者可以收到相对应的贡献值及安全币发放,贡献值可影响MTSRC季度、年度榜单排名,安全币则可用于兑换MTSRC平台上的所有礼品与现金。

**

3. 漏洞修复

业务部门对MTSRC反馈的安全问题进行修复更新、总结复盘,修复时间根据安全问题的严重程度及修复难度而定。预计业务部门将会在两周内完成漏洞复盘,届时白帽子们可以复查安全问题是否已修复。

六、有效漏洞/情报基础奖励标准

针对漏洞/情报提交及确认有效的贡献者,MTSRC将给予基础奖励。
我们采用安全币作为漏洞/情报奖励单位,按资产的重要性及漏洞/情报影响来计算安全币:

【核心业务】包括:美食、外卖、酒店、机票/火车票、内信
【一般业务】包括:美团单车、休闲娱乐、丽人、结婚、亲子、周边游、运动健身、购物、家装、学习培训、生活服务、医疗健康、爱车、宠物、酒吧/密室逃脱

不同的安全漏洞和威胁情报,根据漏洞/情报的等级不同、业务范围不同、报告质量高低不同,安全币发放不同(注:1安全币=5人民币):
美团安全应急响应中心漏洞及威胁情报处理标准V6.0 - 图1


七、严重危害/漏洞及情报奖励

**

1. 高质量漏洞

  • 奖金10000-50000元不等

凡是已经确认的有效漏洞所影响的系统为核心应用且漏洞等级为严重,根据漏洞对业务产生的实际危害,我们将对该漏洞进行二次综合评定,视情况发放除基础漏洞奖励之外的价值2000-10000的安全币,折合人民币10000-50000元。

**

2. 重大安全事件

  • 奖金10w起步,上不封顶

根据情报内容对公司产生的实际影响进行评估,对正在给公司造成重大损失的情报进行高额单独奖励,基础奖励10w起步,不设上限。
重大威胁情报包括但不限于:
1)大批量获取核心业务敏感信息:如大批量用户身份信息,用户订单信息或用户账号密码等信息泄漏;
2)重大金额损失风险:如严重逻辑设计缺陷,活动规则或优惠券设置错误等情况导致可大批量薅羊毛;
3)核心系统权限问题:如核心业务系统被入侵,重要业务核心数据库被拖取,大批量控制核心系统用户权限等;
4)其他能对公司造成巨大影响和伤害的事件。

**

八、平台福利

**

1. 白帽关怀

我们希望所有白帽子在闲暇时可以多陪陪家人,好好爱护自己的身体,基于此我们制定白帽关怀规则: 工作日9:00-22:00点提交漏洞并确认的,安全币奖励上浮20%。SRC举行翻倍奖励活动期间,白帽关怀奖励暂停。

**

2.首杀漏洞奖励

以自然周为单位,本周提交的第一个有效漏洞即为首杀漏洞,可获得相应的额外漏洞奖励:首杀漏洞为严重/高危时,奖励上浮100%;首杀漏洞为中危/低危时,奖励上浮20%。
不论审核漏洞的先后顺序,首杀漏洞以白帽子提交漏洞时间为评判标准:

  • 若本周提交的第一个漏洞为有效漏洞,则该漏洞即为首杀漏洞;
  • 若提交的第一个漏洞被忽略,则顺延判断提交的第二个漏洞是否为有效漏洞,以此类推,直至产生本周首杀漏洞为止。

注:如同时提交多个漏洞,优先被确认的并非本周第一个漏洞,请耐心等待审核结果。本周首杀漏洞奖励最晚在次周周日24点前完成发放。SRC举行翻倍奖励活动期间,首杀漏洞奖励暂停。

**

3. 季度奖

以季度贡献值为参考,MTSRC将为季度内做出杰出贡献的白帽个人和团队发放季度奖励。
个人奖励评价标准:本季度内,个人贡献值位于个人季度荣誉榜前十,则可获得个人季度奖励1000-30000元不等;
团队奖励评价标准:在本季度内,团队内所有成员(人数>=3人)的总贡献值位于团队荣誉榜第一名,则可获得团队季度奖励10000元;
具体奖励详情请关注MTSRC公告通知。

**

4. 年度奖

以年度贡献值为参考,MTSRC将为年度内做出杰出贡献的白帽/安全团队,发放年度奖励。
个人奖励评价标准:本年度内,个人贡献值位于个人年度荣誉榜前十,则可获得个人年度奖励,年度奖励金额以贡献值为参考;
团队奖励评价标准:在本年度内,团队内所有成员(人数>=3人)的总贡献值位于团队荣誉榜前三名,则可获得团队年度奖励,年度奖励金额以贡献值为参考;
具体奖励详情请关注MTSRC公告通知。

九、漏洞评级标准

**

1. 漏洞严重性分级

【 严重 】
1. 直接获取系统权限的漏洞。包括但不仅限于利用命令执行、代码执行、植入Webshell、SQL注入获取系统权限、缓冲区溢出等各类可以远程获取系统权限的漏洞。
2. 严重的敏感信息泄漏。包括但不仅限于核心 DB(资金、用户身份、订单) 的 SQL 注入,可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露。
3. 严重的逻辑设计缺陷和流程缺陷。包括但不仅限于任意金额支付、批量修改任意帐号密码漏洞。

【 高 】
1. 敏感信息泄漏。包括但不仅限于遍历导致大量敏感数据泄露、非核心DB SQL注入、源代码压缩包泄漏、硬编码密码等问题引起的敏感信息泄露。
2. 敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台以修改大量前台敏感信息,或利用后台弱密码、SSRF获取大量内网敏感信息。
3. 直接获取移动客户端权限。包括但不仅限于远程命令执行、任意代码执行。
4. 越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改等较为重要的越权行为。

【 中 】
1. 存储型XSS和跨域导致的敏感信息泄漏。(注:XSS盲打类需明确攻击触发点)
2. 普通越权操作。包括但不仅限于越权查询id、越权查询商家流水、越权查询订单号等非敏感功能越权。
3. 普通信息泄漏。包括但不仅限于Github涉及美团内部密码泄露。
4. 普通的逻辑设计缺陷和流程缺陷导致的安全风险。
5. 对任意指定用户或手机号无限制的短信轰炸。(参考标准:30条/单手机号/分钟)
6.无回显的SSRF。

【 低 】
1. 反射型XSS和重要敏感操作的CSRF。
2. 轻微信息泄漏。包括但不仅限于SVN信息泄漏、调试页面泄露,服务端配置信息泄漏、以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)等。
3. 难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点。
4. 无交互的任意URL跳转。
5、CORS、JSONP导致的敏感信息泄漏。

【 无 】
1. 不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性、复杂交互的URL重定向、账户枚举等问题。
2. 无法利用的漏洞。无敏感操作的 CSRF(收藏、取消收藏、添加购物车、一般的资料修改等)、无意义的异常信息泄漏、无意义的源码泄漏、内网 IP 地址/域名泄漏、无敏感信息的越权访问、401 基础认证钓鱼。
3. 不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测、无法重现、未经验证、无意义的扫描报告的问题。
4. 任何无敏感信息的信息泄露(例如无敏感信息的 jsonp劫持、无敏感信息的cors跨域配置错误、self类的XSS、仅有 js、img 等的打包文件、 一般信息的 logcat、包含内网 ip/域名的页面)等。

**

2. 不接受的漏洞范围

以下范围的安全漏洞,我们可能会忽略或酌情给予奖励:
1. 对于利用条件异常苛刻或无法利用的安全漏洞。
2. 对于已由其他白帽子或公司内部提前知晓的漏洞。

十、威胁情报评级标准

**

1. 情报奖励构成

威胁情报风险类型包括但不限于:

  • 安全事件情报:入侵事件情报、数据泄露情报、流量劫持情报、重大0day漏洞、黑灰产情报等;
  • 业务安全情报:营销漏洞、活动薅羊毛、虚假门店、欺诈套现、数据售卖等;
  • 内容安全情报:反动色情或其他违法内容等;
  • 其他安全情报:其他能够对美团造成危害的情报信息。

情报奖励依旧以安全币为发放单位,其由情报的危害程度,完整性和时效性决定:
情报奖励 = 危害程度 情报完整性 情报时效性

**

2. 情报完整性

情报的完整性影响情报价值,应说明何种人群在何时出于何种目的通过何种行为/业务进行谋取何种利益/危害行为。情报完整性系数的评价会综合关注多个方面,满足某一方面则可获得该项威胁权重分数。各项威胁权重相加后,即为情报完整性系数,系数范围1-12分。
完整性评价关注点及威胁权重分数如下:
1)威胁来源(威胁权重3分):能够帮助MTSRC对事件溯源分析、事件扩散面分析、定位攻击者等;
2)攻击路径(威胁权重3分):攻击个人或组织所攻击的的页面或接口 ;
3)攻击方法(威胁权重3分):所涉及攻击目标系统所使用的技术手段、流程或工具 ;
4)威胁原因(威胁权重1分):刷积分、入侵等 ;
5)威胁发生时间(威胁权重1分):攻击发生所在的时间,如从XX时间开始,到XX时间结束;
6)威胁损失(威胁权重1分):情报所涉及的攻击已造成的损失,比如刷了XX个订单、泄露了XX条敏感数据。

**

3. 情报时效性

高时效性的情报能决定情报是否能发挥其最大的作用,因此我们也将会对情报时效性进行考量,对于时间价值高的情报予以更高奖励,例如 :

  • 315之前提供涉及 诚信经营的威胁情报 可以适当提高激励 ;
  • 大促活动期间,提供涉及营销活动损失的情报可以适当提高激励;
  • ……

    **

    4. 情报危害等级

    我们将情报的危害程度等级划分为:【严重】、【高】、【中】、【低】四个等级,每个等级的奖励与漏洞奖励标准保持一致:
    【严重情报】:本等级包括:对核心业务、系统、办公网络造成重大影响,或对集团造成大量资金损失的威胁情报。如某服务器被上传webshell。
    【高危情报】:本等级包括:对核心业务、系统、办公网络造成较大影响,或对集团造成较大资金损失的威胁情报。
    【中危情报】:本等级包括:对核心业务、系统、办公网络造成一定影响,或对集团造成一定资金损失的威胁情报。如因业务规则问题导致被批量刷优惠券行为。
    【低危情报】:本等级包括: 对业务、系统、办公网络造成轻微影响的威胁情报。如伪冒的钓鱼网站。

    **

    5. 无效情报

    无效情报是指错误、无意义或根据现有信息无法调查利用的威胁情报,例如:
    1)上报虚假情报;
    2)上报黑/灰产QQ群号,且未提供其他有效信息的;
    3)上报已发现或失效情报的;
    4)上报单个普通钓鱼站点地址,无其他有效信息的。

十一、优质报告评判标准

为了提升漏洞报告的整体质量、加快漏洞审核速度,我们将对漏洞描述详细、报告内容完整、思路清晰的优质漏洞报告进行奖励。优质的漏洞报告应包含但不限于以下标准:
1. 漏洞标题应准确描述漏洞问题,不夸张、不虚报、不带有玩笑性质;
2. 能够以文字和图片的形式,清晰地描述漏洞的功能、接口和参数等,以及复现该漏洞所需的步骤、脚本poc、保护解析代码,重现该问题的技术相关信息、漏洞潜在的危害等内容;
3. 能够对漏洞做出客观的、准确的风险等级自评;
4. 能够针对漏洞给出一定有建设性意义的修复建议;
5. 报告内容排版清晰、结构完整、条理通顺;
6. 报告内其他高质量内容。

十二、补充说明及注意事项

  1. 以下情况将不记分
    1) 与美团无关的漏洞;
    2) 在漏洞修复之前被公开的漏洞;
    3) 网上已公开的漏洞;
    4) 同一漏洞,首位报告者计分,其他报告者均不计分;
    5) 以测试漏洞为理由,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,将不计分,同时美团保留采取进一步法律行动的权利;
    2. 以下情况将做降级/追回奖励处理
    1)对于标题与内容严重不符的信息,根据情节会做漏洞降级处理,严重者将做漏洞/情报忽略处理;
    2)审核同学将根据高质量报告标准,进行报告内容审核,对于缺乏关键因素(文字描述、图片证明、测试过程、风险接口和参数等),报告排版混乱,无法稳定复现的报告,将做降级/忽略处理;
    3)未经美团许可,私自对外透漏漏洞详情,追回漏洞奖励且保留法律起诉的权利;
    3. 对于同一个URL,如果多个参数存在类似的漏洞,按一个漏洞积分,不同类型的,按危害程度最大的计分;
    4. 第三方产品的漏洞只给第一个提交者计分,不同版本的同一处漏洞视为相同漏洞;
    5. 同一个漏洞源产生的多个漏洞计算为一个漏洞。例如同一个JS引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个安全漏洞等;
    6. 一个报告中提交多个漏洞,以危害级别最高的漏洞计分;
    7.提交漏洞时请确认是否会对业务有真正的影响,并提交实际产生危害的证明,对于间接危害或猜测危害,定级时将不予考虑。

十三、礼品发放机制

  1. 漏洞提交者在收到发放的安全币后,可在MTSRC平台商城中进行礼品兑换,1安全币=5人民币;
    2. 当周兑换的非现金礼品,会于次周周三统一发放,如遇节假日顺延至下一个周三;
    3. 每月28日前兑换现金,将于本月29日结算,次月的7个工作日内由财务进行统一汇款;
    4. 兑换非现金礼品时,漏洞报告人员需提供准确的收件人信息,如收件人信息不准、快递公司问题及人力不可抗拒因素产生的奖品丢失或者损坏,MTSRC不承担责任 ;
    5. 兑换现金时,漏洞报告人员需提供准确的汇款信息,如因信息错误导致汇款失败,MTSRC将联系您再次确认打款信息,并于次月再次尝试打款 ;
    6. 除常规奖励外,MTSRC定期会开展季度、年度贡献值排行榜奖励、优质漏洞奖励、节假日福利等活动,具体规则再另行通知 ;
    7. 对于MTSRC开展的不定期奖励活动,其奖励标准及礼品管理以活动公告为准 。

十四、FAQ

1. 成功提交有效漏洞后,多久可以再次提交同个系统的同类型漏洞?
业务方对反馈的漏洞进行修复、复盘,时间一般在两周左右,两周后白帽子可再次提交同系统同类型漏洞。

2.为什么同样类型的漏洞,其他人的奖励比我的奖励高?
奖励是根据该漏洞给美团造成的损失来确定的,同样类型的漏洞发生在不同的系统给美团造成的损失可能完全不同,所以即使同类型的漏洞,漏洞奖励也可能有很大差异。

3.为什么你们把我的漏洞忽略了之后又把它给修了?
忽略后修复存在多种情况,比如:业务方在漏洞提交前已发现该问题并着手修复,或其他白帽子捷足先登等情况;但无论是哪种情况,我们都不会为了不给白帽子奖励而恶意忽略漏洞,请各位小表哥们放心。

4.为什么我这个漏洞在XX条件下,如果XXX,就能有非常严重的危害,你们却只给我了高/中/低危?
漏洞级别只考虑能够稳定复现的直接危害,对于不能提供证明的所谓危害,定级时不予考虑。

十五、争议解决办法

漏洞处理过程中,如果漏洞报告者对处理流程、评级评分具有异议的,请通过邮件发送至EDP.src@meituan.com或QQ群261181052进行反馈,MTSRC将根据漏洞报告者利益优先的原则进行处理。
最终解释权归美团安全应急响应中心所有
Meituan Security Response Center
2020年3月