发行版本

V4.0

本文件适用范围

1. 适用于爱奇艺安全应急响应中心( https://security.iqiyi.com/）收到的所有涉及爱奇艺的产品和业务的安全漏洞；

2. 爱奇艺安全应急响应中心下文简称为: 71SRC；

3. 本文件适用于所有有关爱奇艺的产品及服务；

4. 标准变更自2023年12月25日起生效。

基本原则

1. 爱奇艺非常重视自身产品和业务的安全，我们承诺对每一份报告都有专人进行跟进与评估，并给予白帽子与之匹配的利益；

2. 爱奇艺重视负责任的漏洞披露和处理过程，我们承诺对于每位恪守白帽子精神，帮助爱奇艺提升安全的用户，我们将给予感谢和回馈；

3. 爱奇艺反对和谴责一切利用安全漏洞进行渗透、破坏、窃取和损害爱奇艺公司及其用户利益的骇客行为，包括但不限于利用漏洞盗取用户隐私、账号、虚拟财产、入侵业务系统、窃取数据、恶意传播漏洞等。更谴责一切利用安全漏洞进行炒作、恐吓、勒索和攻击竞争对手的行为；

4. 如您对本流程有任何建议或疑问，欢迎通过邮箱 71src@qiyi.com 向我们反馈，我们承诺对每一份反馈都认真对待，及时跟进并分析与处理，建议经采纳后，71SRC将送出一份礼品作为回馈。

漏洞处理流程

1. 登录https://security.iqiyi.com/#submit提交漏洞

2. 漏洞提交成功后，漏洞单状态为【未审核】

3. 71SRC审核确认漏洞有效后，漏洞单状态为【修复中】；如漏洞无影响需忽略或重复提交，71SRC工作人员将与报告者联系或漏洞报告中留言，再将漏洞单状态更改为【已关闭】

4. 漏洞确认后，如有疑问请及时与71SRC工作人员联系（可通过在漏洞单评论或发送邮件到 71src@qiyi.com ）

5. 有效漏洞在修复完成后，漏洞单状态更新为【已关闭】，如白帽子在复测时发现漏洞依然存在，可再次提交。

漏洞评分标准

根据报告的漏洞的危害程度一共分为五个级别：严重、高、中、低、忽略；根据业务等级划分为核心业务、一般业务、边缘业务、合作商，下面详细描述了安全漏洞的评级标准，具体漏洞评判基本及分值以爱奇艺实际评判结果为准。

业务等级划分（包括但不限于 *.iqiyi.com、*.iq.com、*.ptqy.gitv.tv、部分*.pps.tv 等）

1. 核心业务：爱奇艺主站/主APP、passport、会员、支付、广告、TV（*.ptqy.gitv.tv）等

2. 一般业务：爱奇艺号、智能制作、国际站、随刻、奇巴布、文学等

3. 边缘业务：奇秀、爱奇艺知识、VR等

4. 合作商：新爱体育（*.ssport.com）、游戏业务（*.dsgame.iqiyi.com、*.g.pps.tv）、CDN业务（*.inter.71edge.com、d-*-cache.71edge.com）、天象互动（*.crimoon.net、*.skymoons.com）等

PS：以上业务范围于2025年6月4日更新

通用原则及特殊评分标准

1. SSRF漏洞，不区分业务（除合作商外），一律不回显60金币，部分回显100金币，完全回显500金币

2. XSS漏洞，所有爱奇艺域下的反射型XSS漏洞一律1积分，20金币；所有爱奇艺域下的存储型XSS漏洞一律3积分，90金币

3. 短信轰炸，使用发送短信接口向不同手机号短时间（一般为5分钟）内仅能发送1条短信，将做忽略处理

4. CSRF漏洞，仅对个人造成轻微影响的CSRF将做忽略处理，如（取消）关注、（取消）收藏等

5. 包括但不限于一个接口的多个参数存在相同漏洞，提倡打包提交，71SRC将会适当提升奖励标准

6. 同一漏洞，首位提交者记分并给予金币奖励，其他提交者按“重复提交”处理

7. 未经爱奇艺SRC方书面授权（需发送申请邮件到71src@qiyi.com授权），所有漏洞不得向外公开

8. 漏洞报告中请详细说明漏洞影响对象（如漏洞触发位置）、漏洞验证POC、漏洞危害证明（点到为止）

9. 对于与爱奇艺有合作的第三方业务或者历史遗留业务，漏洞对爱奇艺业务有影响的不论漏洞严重性和数量，都将降级处理

10. 由同一个漏洞源引起的多个漏洞只算做一个漏洞，如多个业务用到一个存在漏洞JS文件、框架以及模板导致的整站的安全漏洞

11. 通用型漏洞 如 WordPress、Discuz等开源程序、Flash 漏洞、第三方组件、开源中间件等漏洞，第一个提交者计分，其他提交者均不计分

12. 漏洞报告者在复查漏洞时（相同漏洞已更新漏洞单状态为【已关闭】后）如果漏洞依旧存在，可重新提交漏洞报告，将按新漏洞计分

13. 网上已经公开的以及在其他平台提交过的漏洞不作计分

14. 白帽子不得采用任何形式的社会工程学方法来获取爱奇艺的数据，否则因此造成爱奇艺损失的，应承担赔偿责任

15. 所有评判标准的最终解释权归71SRC所有

16. 其他测试规范可查看：SRC行业安全测试规范

争议解决办法

在漏洞报告处理过程中，如果报告人员对处理流程、漏洞定级、漏洞评分等有任何异议的，可以发送详情到邮件 71src@qiyi.com，我们将会有专门的工作人员与您联系。

奖励发放原则

1. 奖励以礼品形式使用金币（71SRC的一种虚拟货币，1金币=3RMB）兑换，兑换地址：https://security.iqiyi.com/#gifts

2. 多个漏洞产生的金币可累加，除非特别声明，未使用的金币不会过期，奖品上架时有数量限制，当期上架礼品被兑换完后不再接受兑换。

3. 虚拟礼品会在每周的最后一个工作日通过和提交者沟通的形式发送。

4. 实体礼品每周的最后一个工作日邮寄，邮寄后将在SRC平台更新快递单号。

5. 如因漏洞提交者未能及时完善资料导致的延误，将顺延至下一周批量寄送时寄出。

6. 如因报告者过失导致礼品丢失或者损坏，71SRC 将不承担责任；如因快递公司问题及其他人力不可抗拒因素导致礼品丢失或者损坏，最终责任由71SRC承担。

用户等级规定

根据注册白帽子的积分累计总值共分为八个等级：实习安全研究员、安全研究员、高级安全研究员、资深安全研究员、安全专家、高级安全专家、资深安全专家、安全科学家，同时支持非注册用户在线提交漏洞。下面详细描述了每个等级的评判标准：

【非注册用户】

支持未登录在线提交漏洞，漏洞入库并不计算分值，前台不显示。

【注册用户】

实习安全研究员：分值在1-20的注册白帽子用户

安全研究员：分值在20-50的注册白帽子用户

高级安全研究员：分值在50-100的注册白帽子用户

资深安全研究员：分值在100-200的注册白帽子用户

安全专家：分值在200-300的注册白帽子用户

高级安全专家：分值在300-500的注册白帽子用户

资深安全专家：分值在500-800的注册白帽子用户

安全科学家：分值在800以上的注册白帽子用户

注意: 登录后匿名提交的漏洞，漏洞入库并累计金币但不计积分。

注意事项

1. 恶意提交者将封号、清空积分处理

2. 提交无关的问题爱奇艺有权不做答复

3. 爱奇艺员工不得参与或通过亲属、朋友参与

4. 任何关于本文件的建议，欢迎通过 71src@qiyi.com 给我们反馈

5. 爱奇艺对本文件内容拥有最终解释权，上述规则如有任何变更以爱奇艺相关页面公布的实际规则为准