1. 概述

1.1. 文档信息

1.2. 适用范围

1、本标准适用于斗鱼安全应急响应中心（https://security.douyu.com）所收到的漏洞/情报。

2、暂不接收合作厂商及公开测试业务-微服务治理平台、第三方业务-斗鱼云游戏、斗鱼手游等的漏洞。

1.3. 修订记录

2. 基本原则

1、斗鱼非常重视自身产品和业务的安全问题，对每一位报告者反馈的问题都有专人进行跟进处理，并及时答复。

2、对于每位恪守白帽子精神，保护用户利益，帮助斗鱼提升安全质量的用户，我们将给予感谢和回馈。

3、斗鱼严禁一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益的黑客行为；严禁一切利用安全漏洞恐吓用户、攻击竞争对手的行为。

4、斗鱼员工不得参与或通过朋友参与漏洞奖励计划。如经查发现是斗鱼员工参与本奖励规则所述的活动，我们有权不给予奖励，已给予的奖励有权收回，同时封禁平台账号。

5、斗鱼强烈反对任何有损公司利益的行为。未经授权，任何人不得在公众场所或平台上讨论或披露漏洞的细节，也不得向任何第三方泄露漏洞信息。如有上述行为，斗鱼保留追究其法律责任的权利。

6、斗鱼真诚希望各类安全公司、安全团队、安全研究者一起加入到我们的安全行动中来， 共同为网络安全事业保驾护航！

3. 漏洞提交与处理流程

3.1. 漏洞处理流程

【漏洞提交】

白帽子注册/登录斗鱼安全应急响应中心提交报告，提交成功后显示状态“已提交”。

【漏洞审核阶段】

斗鱼安全应急响应中心三个工作日之内专员审核（法定节假日顺延）。DYSRC对漏洞报告状态（已提交、审核中、已驳回、已确认、已修复）进行评估：

1》已提交    ：白帽子提交报告，状态为已提交。

2》审核中    ：专员准备审核时，会将已提交状态更改为审核中。

3》已驳回    ：当漏洞审核忽略，会将审核中状态更改为已驳回。

4》已确认    ：当漏洞审核通过，会将审核中状态更改为已确认。

5》已修复    ：当漏洞修复完成，会将已确认状态更改为已修复。

【漏洞处理阶段】

漏洞修复需要一定时间，有新的进展我们会第一时间反馈给提交者。报告状态变更为“已确认”时会将积分发放给白帽子。修复后的报告状态变更为“已修复”。

3.2. 积分兑换流程

【京东卡兑换流程】

流程所需资料：姓名、身份证号、手机号

兑换周期：一月一次

兑换时长：立即

兑换方式：平台消息（卡密）

【现金兑换流程】

流程所需资料：姓名、身份证号、身份证正反面、银行账号、开户行信息、银行名称

兑换周期：一月一次

兑换时长：10天左右

兑换方式：银行卡收款

【礼品兑换流程】

流程所需资料：收件人、收件地址、手机号

兑换周期：一月一次

兑换时长：3天左右

兑换方式：快递邮寄

3.3. 评分标准通用原则

1、同一漏洞源、通用型漏洞引发的多个漏洞计漏洞数量为一，通用型同类型漏洞只收其一。

2、一台服务器，一个服务，多个系统（A、B、C、D）。提交A系统的此服务漏洞，BCD系统的此服务漏洞，视为重复。

3、同一漏洞，首位报告者计积分，其他报告者均不计。

4、在漏洞未修复之前，被公开的漏洞不计分，积分不发放。

5、报告网上已公开的漏洞不计积分。

6、同一份报告中提交多个漏洞，只按危害级别最高的漏洞计积分。

7、技术理论上可行但无法深入证明的报告，安全审核人员会进行内部测试来确认漏洞危害。若因条件因素等影响，双方均无法证明漏洞危害，由报告目前能证明的危害进行评分。

8、短信轰炸的定义：单一IP/用户半小时内定向发送超过 50 条后无任何限制。使用短信接口不受限制向不同手机发送 1 条短信的问题将做忽略处理。

9、各漏洞的最终审核情况由漏洞利用难易程度、危害大小及影响范围综合考虑决定。

10、严格保密已提交的漏洞，如若泄密一经发现撤回所有奖励，并视影响程度考虑追究相关责任。

11、以测试漏洞为借口，利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的，将不计积分，同时斗鱼网络科技有限公司保留采取进一步法律行动的权利。

3.4. 争议解决办法

在漏洞报告处理过程中，如果报告者对漏洞处理流程、漏洞定级、漏洞评分等有异议的，可以发送详情到邮件security@douyu.tv，我们将会有专门的工作人员与您联系。

DYSRC尊重每位白帽子的付出，内部安全专家小组将根据反馈重新评估，视情况调整结果。

4. 漏洞评分及奖励标准

DYSRC主要收录三部分内容：安全漏洞、威胁情报、隐私合规。下面分别说明其评分标准。

4.1. 积分计算方法

积分用于礼品兑换，漏洞经确认后增加，兑换礼品后减少。

斗鱼安全应急响应中心1积分=10RMB。

1》安全漏洞

积分由漏洞对应用的危害程度（等级系数）、业务系数共同决定：积分=等级系数X业务系数。

2》威胁情报

积分由情报对应用的危害程度（等级系数）、情报完整度共同决定：积分=等级系数X情报完整度。

3》隐私合规

积分由漏洞对应用的危害程度（等级系数）决定：积分=等级系数。

4.2. 安全漏洞评分标准

4.2.1.评分标准

积分由漏洞对应用的危害程度（等级系数）、业务系数共同决定：积分=等级系数X业务系数。

4.2.2.等级评定

根据漏洞的危害程度将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【无影响】五个等级。由DYSRC结合利用场景中漏洞的严重程度、利用难度等综合因素进行漏洞评级，每种等级包含的评分标准及漏洞类型如下：

【 严重 】

等级系数【8-10】，本等级包括：

1）严重的敏感信息泄露，包括但不限于可以获取核心数据的SQL注入漏洞（资金、身份、交易相关）、源代码泄露以及任意文件读取和下载漏洞（如包含重要服务口令），系统权限控制不严格等导致的敏感数据泄露漏洞，公司内部核心数据泄露等；

2）严重的逻辑设计缺陷和流程缺陷。包括但不限于任意账号登陆、任意账号密码密保修改、帐密校验逻辑、核心接口数据验证逻辑、支付逻辑漏洞，以任意人身份敏感操作等；

3）远程直接获取核心系统权限的漏洞（服务端和客户端），包括但不限于远程任意命令执行、远程代码执行、上传获取WebShell 、缓冲区溢出、SQL注入获取系统权限等；

4）直接获取基础架构系统权限包括但不限于：核心业务操作系统、核心业务数据库、防火墙等；

5）直接导致核心业务拒绝服务的漏洞。包括但不仅限于直接导致线上业务拒绝服务、可导致大量用户崩溃掉线等。（DDoS攻击等资源耗费型的拒绝服务除外）

【 高危 】

等级系数【5-7】，本等级包括：

1） 敏感信息泄漏。包括但不仅限于重要DB SQL注入、源代码压缩包泄漏、可获取大量用户交易信息的接口、服务器、应用加密可逆或明文的敏感信息泄露；

2） 越权访问，包括但不限于敏感信息修改、敏感信息读取、进行涉及钱财的操作、重要业务配置修改、获取大量内网敏感信息等；

3）大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS（包括存储型DOM-XSS）、涉及交易、资金、密码的CSRF；

4）涉及资金、订单和用户敏感信息的逻辑设计缺陷和业务流程缺陷；

5）弱口令。重要系统后台的弱口令；

6）SSRF类型漏洞可探测内网等；

7）属于严重级别中所描述的漏洞类型，但是产生在非核心系统中的漏洞；

8）本地代码执行漏洞，包括但不限于内存破坏、类型混淆、整数问题等导致的可利用本地代码执行漏洞。

【 中危 】

等级系数【3-4】，本等级包括：

1）需交互才能获取用户身份信息的漏洞。包括但不限于核心业务的存储型XSS 、反射型XSS、JSON劫持 、重要敏感操作的CSRF、URL跳转漏洞；

2）普通信息泄漏。包括但不仅限于其他数据库SQL注入、客户端明文存储密码、WEB路径遍历、系统路径遍历。非重要系统的普通代码泄露；

3）普通越权操作，包括但不仅限于不正确的直接对象引用，越权读取、越权篡改数据、越权访问非重要系统后台；

4）普通但有一定影响的逻辑设计缺陷和业务流程缺陷；

5）可导致资源滥用或造成对用户骚扰的漏洞，包括但不限于：短信炸弹、邮件炸弹等；

6）弱口令。普通系统后台的弱口令。

【 低危 】

等级系数【1-2】，本等级包括：

1）客户端本地拒绝服务漏洞。包括但不仅限于组件权限导致的本地拒绝服务漏洞；

2）远程拒绝服务漏洞，包括但不限于攻击接口、页面、组件导致的拒绝服务等；

3）轻微信息泄露。包括但不限于路径信息泄露、Phpinfo、异常信息泄露、无具体代码的Svn/Git信息泄露、以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、Cache内容)、日志打印、配置信息、已脱敏的用户信息泄露等；

4）其他只能造成轻微影响的漏洞。反射型XSS(包括反射型DOM-XSS)、普通CSRF、URL跳转漏洞；

5）无限制短信接口，可存在暴力破解的接口。

【 无影响 】

等级系数【0】，本等级包括：

1）无关安全的bug，包括但不限于产品功能缺陷、页面乱码、样式混乱、无安全影响的本地拒绝服务、静态文件目录遍历、应用兼容性；

2）对于利用条件异常苛刻或无法利用的安全漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏、版本过低、401基础认证钓鱼、无敏感信息的JSON Hijacking、无意义的源码泄露、无敏感信息的Logcat浏览器or第三方等无法修复的漏洞所致、没有实际意义的扫描器漏洞报告等；

3）无法重现的漏洞、无任何证据的猜测；包括但不仅限于纯属用户猜测、未经过验证的问题、只有简要概述的漏洞、经DYSRC审核者多次确认无法重现的漏洞等；

4）无法造成资金损失或损失在运营预期之内的问题，包括但不限于可使用多个账号领取小额奖励的正常业务活动；

5）和公司无关的安全漏洞；

6）内部已知或正在处理的漏洞，包括但不限于已在其他平台公开通用的、白帽子或内部已发现的漏洞。如：

7）无利用价值的跨域资源共享漏洞(CORS)；

8）任何无敏感信息的信息泄露（例如无敏感信息的 Jsonp劫持、无敏感信息的Cors跨域配置错误、Self类的XSS、仅有 Js、Img 等的打包文件、 一般信息的 Logcat、包含内网 IP/域名的页面）等。

4.2.3.业务系数

业务分为核心业务、重点业务、其他业务三部分。

1、核心业务

- 交易流水：鱼翅鱼丸、道具礼物、贵族开通或者续费、支付等。

2、重点业务

  - 直播：广告、钻粉、弹幕、直播间观看、互动功能等；

  - 点播：视频上传、创作中心、视频搜索等；

  - 社交：频道、鱼吧、站内信、分区互动活动等。

3、其他业务

  - 非以上核心、重点业务所产生的移动应用、客户端、小程序、Web 站点等；

  - 对业务无实际影响的运维监控、测试页、测试环境、本身缺少访问权限的开源系统等（平台用户少于百人，数据实时性低于 1 天，客户端产品较长时间未更新等）。 

4.3. 威胁情报评分标准

威胁情报是指可以威胁到斗鱼业务或者系统安全性相关的信息，包括但不仅限于漏洞线索、攻击线索、攻击者相关信息、攻击技术、攻击方式等。由于威胁情报分析调查的时间较长，因此确认周期相比漏洞的时长较长。

4.3.1.接收类型

4.3.2.评分标准

积分由情报对应用的危害程度（等级系数）、情报完整度共同决定：积分=等级系数X情报完整度。

4.3.3.等级评定

根据情报的危害程度将情报等级分为【严重】、【高危】、【中危】、【低危】、【无影响】五个等级。由DYSRC结合具体场景中情报的危害程度、影响范围等综合因素进行情报评级。

情报等级的评定标准如下：

说明：由于数据价值受时间影响，故当数据产生时间超过1个月时，等级降低处理。

4.4. 隐私合规评分标准

斗鱼安全应急响应中心（DYSRC）坚定遵守相关法律法规的规定，并致力于通过隐私众测培养优秀的隐私保护力量，以提高公司内部的合规能力。我们承诺，每一份提交的报告都将由专业团队进行评估与处理，对于隐私漏洞的提供者，我们将给予相应的奖励。

4.4.1.接收类型

与主要用户所在的国家或地区的相关法律法规冲突，未及时修复能够导致企业的经营、声誉等受到损害。接收的隐私漏洞类型如下：

4.4.2.报告要求

（1）报告中请尽量描述详细完整，包括漏洞调用描述、漏洞验证步骤、漏洞危害证明和相关政策要求等内容，并且附带APP下载应用商店、漏洞涉及的APP版本、日期、测试机型、操作系统版本、包名等信息，以加快审核人员处理速度。对于漏洞报告过于简单、无任何危害证明的报告将忽略或降分处理；

（2）请在官方网站、主流应用商店下载最新版本APP进行测试，以白帽子提交漏洞的时间和在线版本为准，历史版本漏洞不接收；研发内测版本（或灰度版本）存在的问题不接收；

（3）因“非主流设备不兼容”导致的某些不合规问题不在接收范围内（如：刻意使用小屏幕、低分辨率的手机打开《隐私政策》导致文字显示不清等）；

（4）技术类隐私漏洞需提供有效的日志类信息，包括但不限于：完整的测试堆栈信息、其网络流量抓包截图、284log或其他日志文件。只提交检测平台、检测工具类的结果截图类证据将不被接受；

（5）仅以静态扫描Manifest结果为依据提交的缺少相关隐私声明的漏洞，但没有提供实际调用记录的，确认为低危，有调用记录的，确认为中危；

（6）仅提供SDK列表截图，白帽子提示SDK列表不全以外，还应当补充提交关于SDK实际传输了数据给第三方的证据。否则不予通过。

4.4.3.评分标准

积分由漏洞对应用的危害程度（等级系数）决定：积分=等级系数。DYSRC结合报告中漏洞的危害程度将漏洞等级分为【高危】、【中危】、【低危】、【无影响】四个等级，并给予相应的漏洞奖励。