本用户协议(以下称为“本协议”)是上海携程商务有限公司(以下简称“我们”)与登陆、使用携程旅行网安全应急响应中心(CtripSecurityResponseCenter,CSRC)用户(以下称为“您“)签订的具有约束力的法律文书。
在成为CSRC用户前,请您务必仔细阅读并透彻理解本协议。如对本协议内容有任何疑问,您可向CSRC进行咨询。如果您不同意本协议或其中任何内容,您应立即停止使用CSRC网站。如果您选择“同意”并继续使用、登陆、浏览CSRC网站(以下简称“本网站”),您的使用行为将被视为对本协议全部内容的认可。
您承诺遵守中华人民共和国法律、法规、规章及其他政府规范性文件的规定,如有违反而造成任何法律后果,您将独立承担所有相应的法律责任。
一、漏洞提交
1.1通过CSRC平台收集的漏洞是您以研究为目的测试携程旅行网漏洞过程中发现的漏洞。
1.3对于您向CSRC提交的漏洞,您需要保证研究漏洞的方法、方式、工具及手段的合法性,CSRC对此不承担任何法律责任。
1.4您同意必须基于诚信原则提交漏洞信息,并确保您是依据您自身所拥有的知识和技能,通过合法正当的方式和途径发现该漏洞信息的存在,您保证您所提交的漏洞信息所包含的全部权利为合法。
未经允许,对侵入计算机信息网络、干扰网络正常功能、窃取网络数据等;
未经允许,对计算机信息网络功能进行删除、修改或者增加的;
未经允许,对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具的;
其他危害计算机信息网络安全的行为。
如您违反上述行为,我们有权采取注销您的账户等措施,如因您上述行为给我们造成损失的,您应予赔偿。
二、用户守则
2.1您保证不会利用技术或其他手段破坏、扰乱CSRC网站及影响其他用户使用CSRC网站。
违反中华人民共和国国家法律法规政策的任何内容(信息);
违反中华人民共和国国家规定的政治宣传或新闻信息;
涉及中华人民共和国国家秘密或安全的信息;
封建迷信或淫秽、色情、下流的信息或教唆犯罪的信息;
博彩有奖、赌博游戏;
违反中华人民共和国国家民族和宗教政策的信息;
妨碍互联网运行安全的信息;
侵害他人合法权益的信息或其他有损于社会秩序、社会治安、公共道德的信息或内容。
2.4您同时承诺不得为他人发布上述不符合中华人民共和国国家规定或本协议条款约定的信息内容提供任何便利,包括但不限于设置URL链接等。
三、责任范围及责任限制
3.1我们仅对本协议条款中列明的责任承担范围负责。
3.2在法律允许的情况下,我们对于与本协议条款有关或由本协议条款引起的任何间接的、惩罚性的损失,不论是如何产生的,也不论是由对本协议条款的违约、还是由侵权造成的,均不负有任何责任,即使事先已被告知此等损失的可能性。
四、商标和知识产权的保护
4.2非经我们或我们的关联公司实现书面同意,您不得擅自使用、修改、复制、公开传播、改变、散布、发行或公开发表对应的知识产权。如侵犯知识产权,您应承担损害赔偿责任。
五、个人隐私保护
5.1我们非常重视保护您的本网站账号及密码、通讯地址等个人信息,未经您同意,我们不会将其披露给无关的第三方,更不会将其公之于众,但因下列原因而披露给第三方的除外:
基于中华人民共和国国家法律法规的规定而对外披露;
应中华人民共和国国家司法机关及其他有关机关基于法定程序的要求而披露;
在紧急情况,为保护其他用户及第三方人身安全而披露;
经您本人同意或应您的要求而披露。
六、通知送达与变更6.1您理解并同意,我们可依据自行判断,通过网页公告、您提供的电子邮件或手机等通讯方式向您发出通知;上述通知于发送之日视为送达。6.2您同意,我们有权对本协议的内容进行变更,并以消息或邮件、网页公告等方式予以通知;若您在本协议内容公告变更后继续使用CSRC网站的,表示您已充分阅读、理解并接受修改后的内容,也将遵循修改后的条款内容;若您不同意修改后的协议,您应立即停止使用、登陆、浏览CSRC网站。
七、法律适用与管辖
7.1本协议条款由本协议条款与本网站公示的各项规则组成,特别是关于漏洞收集的规则。本协议条款部分内容被有管辖权的法院认定为违法的,不因此影响其他内容的效力。
7.2本协议条款之效力、解释、变更、执行与争议解决均适用中华人民共和国法律。因本协议条款产生之争议,均应依照中华人民共和国法律予以处理,并提交上海市长宁区人民法院审判。
八、其他
8.1在您完成注册程序或以其他允许的操作时,您确认您是具备完全民事权利能力和完全民事行为能力的自然人、法人或其他组织(以下统称为“法律主体”)。
8.3您了解并同意,必要时我们可能要求您完成账户的实名认证;同时,可能要求您提供更多的身份资料和信息,做进一步的身份认证或资格验证。
8.5您理解并同意,我们有权按照中华人民共和国国家司法、行政、安全等机关的要求对个人信息等进行查询、披露。
公告编号:CSRC-2024-1029
发布日期:2024-10-29
携程安全应急响应中心漏洞评分标准和奖励细则V8.0
1.携程安全应急响应中心欢迎外部同仁反馈携程旅行网以及去哪儿旅行网站的安全漏洞,以帮助我们不断提升和完善自身产品和业务的安全性,我们承诺:对每一位报告者反馈的问题都及时跟进,分析并处理,对待争议问题抱以公平公正的态度。
3.评分标准针对于携程以及去哪儿产品和业务,域名包括但不限于*.ctrip.com,*.trip.com,*.occpay.com,*.qunar.com服务器包括携程及去哪儿运营的服务器,产品为携程及去哪儿发布的客户端产品(APP),与携程及去哪儿完全无关的漏洞,不计币。
4.通用型漏洞(如同一个漏洞源产生的多个漏洞)一般计漏洞数量为一个,例如同一个发布系统引起的多个页面的XSS漏洞、同一个应用不同接口使用相同的鉴权逻辑并存在越权、由同一框架导致多站点存在相同类型漏洞等,通用型漏洞视漏洞危害性定级,第一位提交者得币,后面提交者不得币。
6.漏洞描述请尽量详细,提供测试功能点截图,请求数据包等信息,对于描述过于简单的漏洞,会适当降级或者忽略处理。(比如暴力破解漏洞,漏洞描述只有一个登陆页面)。
1.漏洞提交流程如下:
2.漏洞争议解决办法:
在安全漏洞处理过程中,如果报告者对处理流程、漏洞评级、漏洞评分等存在异议,可采取以下措施:
1.携程根据漏洞的危害程度将漏洞等级分为【严重】、【高】、【中】、【低】四个等级;应用系统重要性分级为:核心应用、非核心应用、边缘应用。
2.CSRC采用携程币作为货币单位,1携程币=1RMB。
3.安全漏洞最终评分会根据具体漏洞类型、业务重要性评定。根据对应的漏洞所获得的携程币对应表如下:
【补充说明】业务属性:携程系统服务对象属于外部用户,包括toB或toC;服务于携程集团员工或关联公司的系统属于非业务属性。
域名举例如下:
核心应用
(主页面入口)
国内站点
*.ctrip.com
国际站点
*.trip.com
程付通
*.occpay.com
去哪儿网
*.qunar.com
非核心应用(举例)
酒店赫程
ebooking.ctrip.com
*.easytrip.com
*.toptown.cn
携程通
b.ctrip.com
携程旅游供应商系统
vbooking.ctrip.com
…
边缘应用(域名不限的携程应用)及合作公司(举例)
招商合作
go.ctrip.com
CSRC平台
sec.ctrip.com
开放平台
携程纵横
latitude.ctrip.com
技术中心招聘网站
techshow.ctrip.com
铁友
*.tiexiaoer.com
永安
*.wingontravel.com
1.威胁情报认定原则:
(2)提交相同情报者,首位提交者将被予以确认,其他不予以确认。
(3)报告的详细程度会直接关联到最后的评分,报告请尽量详细:情报类型,攻击路径,攻击方法。
(4)通用型漏洞、同一安全隐患引起的多个问题计数为一个。
(5)业界暂时无法彻底解决的业务威胁问题暂时不计分,例如众包手动领券(如果发现某活动未接入风控,依靠一些黑设备或者批量注册的账号,依然可以参与活动的。若提交情报,可帮助减少业务损失的,依然算分)。
(6)对于第三方问题导致的安全威胁,我方无法修复的暂时不计分(如航空公司客户信息泄漏造成的携程用户被欺诈)。
(7)未经允许对外披露情报内容,将不予确认,已确认的情报奖励将有权追回。
(8)以安全测试为借口,利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的,将不计分,同时携程保留采取追究法律责任的权利。
(9)威胁情报分为三个等级:【高危】【中危】【低危】,依据携程应用系统重要性分级标准:核心应用,一般应用,边缘应用。
2.威胁情报奖励计划:
根据对应的情报所获得的携程币对应表如下:携程币=系统重要性*漏洞严重性
系统重要性/漏洞严重性
高危(100-300)
中危(30-80)
低危(10-25)
核心应用(10)
1000-3000
300-800
100-250
一般应用(5)
500-1500
150-400
50-125
边缘应用/合作公司(1)
100-300
30-80
10-25
3.威胁情报评级细则:
级别
线索范围
示例
高危
2.绕过反爬限制,可以恶意爬取客户敏感信息的爬虫手段和技术
例如爬取客人未掩码的手机号、姓名、身份证号码、地址等等
证明最近一个月内携程网客户、订单信息批量泄漏,提供被脱库的详细信息,可快速定位确认问题点
4.重大金融逻辑漏洞线索
支付类严重的逻辑漏洞
5.业务存在严重逻辑缺陷导致业务不能正常进行的线索
绕过认证可以批量提交恶意订单的
6.网站价格被恶意篡改影响当前业务的线索
中危
1.公司业务存在严重脆弱性环节的漏洞
2.外部黑产群或论坛,流出的黑产工具,且可运行
例如某恶意自动注册账号工具、自动返现工具等
3.外部黑产群或论坛,传播存在风险的业务活动(众包不算)
例如某抽奖活动未接风控,恶意设备或者账号一天可以拿到5个免费住五星酒店的机会
4.绕过风控限制,可批量进行恶意业务风险操作的漏洞
5.绕过反爬限制,可以恶意爬取一般敏感信息的爬虫手段和技术
例如商品价格、酒店地址、库存量等等
低危
1.发现针对携程以及去哪儿的假冒或者钓鱼网站等
提供假冒或者钓鱼网站有效链接
2.兑换现金前请先确认个人资料是否完善,兑换的携程币到账的银行卡必须为本人实名认证的银行卡,如果因银行卡及身份证非本人实名认证的原因无法完成打款,后果请自行承担。
奖励分为【常规奖励】和【年度奖励】,以及不定期的【活动奖励】
【常规奖励】:
常规奖励即所提交的有效漏洞/威胁情报报告获得的携程币,可随时进行兑换,1个携程币=1RMB。
【年度奖励】
年度贡献榜排行前三名将获得CSRC年度奖金,荣誉证书以及荣誉奖杯。
【活动奖励】
CSRC会不定时推出节日福利及双倍活动,以双倍携程币的方式或礼品发放的形式进行活动,由运营人员统计获得奖品的人数,月初统一寄出一次奖品。
1.Q:1个携程币等于多少人民币?
A:1个携程币相当于1元人民币。
2.Q:CSRC会把我提交的漏洞先修复了,然后忽略我的漏洞吗?
A:不会,我们承诺,对待每一位报告携程网站安全漏洞的白帽子进行积极主动地跟进,每一个漏洞都会得到公平公正的处理,不会先修复后忽略。
3.Q:为什么我提交的高危漏洞被降级为中危漏洞?
A:漏洞评级依据该漏洞在实际场景中对业务的影响程度给出,对于没有出现用户敏感信息,以及对业务不会产生实质影响和危害的漏洞,会被降级处理。
4.Q:收取的APP隐私漏洞有范围限制吗?
A:有,提交的漏洞必须是在安卓8.0及以上系统版本,或IOS12.0及以上系统版本上发现的携程APP隐私漏洞。