为确保您的利益，请登录https://security.kuaishou.com在线提交漏洞/安全情报问题。

提交漏洞/威胁情报前请您确认已仔细阅读《快手白帽用户协议》。

一、漏洞处理流程

待审核：一个工作日内工作人员会确认接收的反馈问题并跟进开始评估

已确认：三个工作日内工作人员将给出结论及评分，必要时会与提交者沟通确认，请提交者予以协助。

已忽略：漏洞不存在或重复上报（参考漏洞忽略原则）

修复中：内部修复反馈的安全问题

已修复：安全问题修复并更新上线

二、漏洞奖励评分标准

对于每一个漏洞级别，我们将结合实际利用场景中影响、危害等综合因素给予相应的奖励。

1rank = 100 RMB

奖励RMB（元）如下：

三、漏洞等级评定标准

严重漏洞

1）直接获取核心系统权限的漏洞。包括但不仅限于利用命令执行、代码执行、植入Webshell、SQL注入获取系统权限、缓冲区溢出等各类可以获取系统权限的漏洞。（核心系统例如：快手passport服务器、快手支付服务器。）

2）核心敏感数据信息泄露漏洞。包括但不限于核心数据库(passport，支付）的SQL注入、系统权限控制不严格等导致的敏感数据泄露漏洞（涉及可批量获取账密信息、控制用户权限、用户订单信息等）。

3）核心系统的逻辑漏洞，能够大量获取利益，造成用户损失的漏洞，包括但不限于账密校验逻辑、核心接口数据验证逻辑、支付逻辑漏洞等。

高危漏洞

1） 直接获取普通服务器或客户端权限漏洞，包括但不限于内存破坏、逻辑权限等可利用的远程代码执行漏洞。

2） 重要敏感数据信息泄露漏洞，包括但不限于移动端、源代码压缩包泄漏、Git信息泄露导致的重要业务源码泄露，绕过认证直接访问管理后台、后台弱密码、可直接获取大量内网敏感信息的SSRF。

3） 本地代码执行漏洞，包括但不限于内存破坏、类型混淆、整数问题等导致的可利用本地代码执行漏洞。

4） 不需交互导致的重点业务漏洞，包括但不限于存储XSS、文件遍历。

中危漏洞

1） 需交互才能对用户产生危害的安全漏洞、包括但不限于反射XSS、JSON劫持、敏感操作的CSRF等。

2） 普通信息泄露漏洞、包括但不限于客户端明文存储密码、客户端密码明文传输以及 web 路径遍历、系统路径遍历。

3） 远程拒绝服务漏洞，包括但不限于攻击接口、页面导致的拒绝服务、APP远程拒绝服务等。

4） 非核心业务的逻辑漏洞，包括但不限于权限控制不当导致的泄露问题、重定向漏洞等。

5） 存储XSS不能影响全量用户或不能提供输入点的。

低危漏洞

1） 在特殊条件下才能获取用户信息的安全漏洞，包括但不限于特定浏览器下的反射XSS、存储XSS。

2） 基本无影响的信息泄露漏洞，包括但不限于服务器物理路径、边缘系统文件、本地日志等。

3） 本地拒绝服务漏洞，包括但不限于移动端本地组件、进程的拒绝服务、远程无法利用的RCE等。

4） 可能存在安全隐患但利用成本很高的漏洞，包括但不限于特殊情况下的中间人攻击、需要用户连续交互的敏感安全漏洞。

5） URL跳转等一般风险、危害较小的安全问题。

忽略

1）安全无关的产品BUG，包括但不限于产品体验或设计不好、非安全漏洞导致的服务无法访问等。

2）无法利用或无危害的“漏洞”，包括但不限于无法影响他人的本地拒绝服务 、Self-XSS、非敏感信息泄露（内网IP、域名）等。

3）无任何证据的猜想。

4）短信、邮箱轰炸暂不做收录

5）pdf渲染造成的xss不接收

6）社工钓鱼类测试不接收

7）相关组件Nday漏洞，时间过短且快手已知的，暂不做接收

8）其他业务（非核心业务）的本地拒绝服务漏洞暂不做接收

其它二进制漏洞类型：

配置不当、拒绝服务、信息泄漏、逻辑漏洞、开放端口漏洞、内存破坏（溢出、越界、UAF、Double Free）、整数溢出、格式化字符串漏洞、类型混淆、竞态条件(条件竞争)、路径穿越、隐藏接口暴露。

四、威胁情报奖励评分标准

由KwaiSRC结合情报实际危害程度、影响范围，情报完整度等综合因素进行评级。

RMB（元） = 危害程度*情报完整性评分

建议提交情报信息完整，判断完整性参考如下：

1、 威胁发生时间及产生原因（权重2分）

2、 威胁来源及相关路径（权重3分）

3、攻击手段、流程、工具（请详述）（权重4分）

4、 已知损失（权重1分）

特殊奖励：

目前限定于支付类，如提交威胁情报对快手安全提升价值较大或情报影响等级较大，我方将视具体情况额外予以奖励。

五、威胁情报评定标准

严重

1、针对核心业务系统的入侵情报。如核心生产服务器的入侵且提供了入侵行为方式等相关线索；

2、 重大0Day漏洞。如核心服务器软件、系统等未公开或半公开漏洞，核心办公软件等未公开或半公开的漏洞等；

3.、重要业务数据库被拖取且提供了数据库名或数据库文件、时间等相关线索；

4.、对核心业务造成重大影响的威胁组织活动情报。如大规模快手账号盗取等；

高危

1、针对非核心业务的入侵情报；

2、可造成重大影响的新型病毒、木马、蠕虫。如因重要业务的存储XSS漏洞导致的大规模蠕虫事件等；

3、 对核心业务造成较大影响的威胁组织活动情报。如DDoS情报等；

中危

1、针对快手的新型可利用的攻击工具、方法等。如绕过策略的工具可以扫号，直接开直播权限等；

2、一般风险的业务安全问题。如活动作弊、业务规则绕过；

3、威胁组织基础信息。包括但不限于威胁组织相关人员、架构、规模、地域、活动情况等信息、交流及销售渠道、使用的工具和平台、造成的相关影响、行业动态等；

低危

1、针对业务的一些外挂程序(app)等，如养号，游戏外挂，自动互关等

2、低风险业务安全问题。如恶意注册、刷评论等；

无影响

1、非快手相关安全情报等。

特别说明：

1、KwaiSRC已联合内部廉正合规部对内部员工违规行为进行监控并纳入威胁情报收录范围内，如利用内部资源参与黑产活动、违规操作、接收贿赂、接受外部付费咨询（商业泄密）等，欢迎白帽子进行举报、监督。如考虑保密因素，可将该类情报通过邮件形式发送至sec@kuaishou.com。

2、黑产工具举报纳入威胁情报收录范围，提交报告需提供工具名称、截图、工具作用、购买联系方式、工具样本、来源渠道等，提交分析情报必须包含以上任意两点条件。工作人员将结合具体场景中的情报的影响程度等综合因素给予黑产情报定级与奖励。

六、业务范围

核心业务：快手APP、快手极速版APP、快手电商（kwaixiaodian.com）、商业化（e.kuaishou.com）

其他业务：

「国内」 *kuaishou.cn、快影、一甜相机、快手直播伴侣、轻雀协作

「国际」 Kwai

说明：「快手概念版、A站、快看点、水母」报告不再接收

七、审核通用原则

1、评分标准仅适用于快手相关产品和对内对外业务系统，可威胁到快手产品和业务相关的情报。与快手完全无关的漏洞和情报，不予奖励。

2、第三方产品，影响快手客户端漏洞，内部无法处理及修复问题仅对第一个报告进行奖励。

3、部分低危漏洞将仅做确认，不做奖金激励。如可能存在安全隐患但利用成本非常高的漏洞；部分在特殊条件下才能获取用户信息的安全漏洞；部分其他边缘业务不能证明存在较大危害的漏洞。

4、同一个漏洞源产生的多个漏洞算一个漏洞。

5、绕过修复中漏洞，不做奖励。

6、漏洞忽略说明：

1）漏洞不存在任何直接或间接危害；

2）漏洞重复（漏洞类型及成因相似，漏洞根源代码所在文件相同，漏洞可通过相同的测试方案，漏洞可通过相同的修复方案一次性修复）；

3）超过24H无法复现需额外补充内容或报告中内容有偏差无法按原始报告确认的漏洞；

4）内部已知问题不进行收录，忽略处理。

7、提交者如主动要求忽略漏洞重新提交，如在下次提交前有其他人提交该漏洞，需要自行承担重复风险。

8、同一漏洞或威胁情报的不同表现形式在漏洞修复前由多位提交者反馈报告，我们会以最先在平台提交且表述清晰的提交者给予唯一奖励。因情报有时效性，已知或已失效情报不予奖励。

9、由于某些漏洞本身复杂且涉及其他部门配合，审核时间会出现延长情况，如因提交者报告内容不够详尽导致工作人员无法按原定时间内给出结论，请各位提交者理解。我们鼓励提交者尽可能提交完整的漏洞报告或完整的情报信息。

八、禁止行为

1、以测试漏洞为借口，利用漏洞影响业务运作、盗取用户数据等行为的，将不予以奖励；

2、针对严重漏洞，提交者违反不使用及保密协议，将保密信息提供、泄露给他人；

3、禁止进行可能引起业务异常运行的测试，禁止用扫描器或其他自动化工具，只允许手工测试；

4、禁止网络拒绝服务（DoS 或 DDoS）测试；

5、测试命令执行漏洞时，证明漏洞即可，禁止植入文件或者对内网其他主机进行扫描测试；

6、测试验证越权漏洞等逻辑风险时，请自行注册测试账号进行测试，禁止在他人【直播间】、【电商活动】等核心业务场景进行增删改功能的漏洞测试。务必控制测试范围，不得危害系统正常数据或影响正常用户使用；

7、禁止进行物理测试、社会工程学测试或邮件钓鱼等任何其他非技术漏洞测试。

以上任一行为，快手将保留采取进一步法律行动的权利。

九、标准漏洞/威胁情报报告要求

1、简述漏洞概况及危害，与Android系统版本相关请注明手机厂商型号、系统版本和安全补丁日期 ；

2、请分步描述复现步骤，移动端报告请从代码层面详述攻击方法；

3、攻击演示请提供PoC及PoC源码，如有特殊注意的操作条件请标注；

4、提供修复建议；

5、勿将不同类型，不同业务线的漏洞在同一漏洞报告中提交；

6、漏洞报告标题内容相符、漏洞类型、漏洞等级自评相符。

十、提现流程

提现前提：已确认有效漏洞或威胁情报，在个人中心会显示“白帽子提现”

提现入口：快手APP -> 更多-> 白帽子提现-> 绑定支付宝-> 提现

提现时效：32H（默认发放奖励币种为RMB）

十一、争议解决办法

在漏洞报告/威胁情报处理过程中，如果报告者对流程处理、定级、评分等有异议的，可在报告详情页的评论功能中进行反馈或加入QQ群【72815301】进行反馈，加群请备注快手昵称。

十二、版本管理

2018年05月11日0时0分 发布版本 《快手安全中心处理标准V1.0》

2019年08月13日0时0分 版本更新 《快手安全中心处理标准V2.0》

2019年10月11日0时0分 版本更新 《快手安全中心处理标准V2.1》

2022年05月24日0时0分 修订新增部分禁止行为

2022年11月22日17时30分 对部分业务范围进行修订

2023年02月01日0时0分 修订核心业务高危奖励、更新业务范围

2024年08月07日0时0分 修订新增部分禁止行为

快手安全应急响应中心负责本标准的解释和修订，并在法律允许的范围内有权进行解释。