东方航空网络安全应急响应中心漏洞处理流程及评级标准V2.0

东方航空网络安全应急响应中心漏洞处理流程及评级标准V2.0规章制度

牡丹江律师网 2025-06-05 06:15

一、基本原则

1、中国东方航空（以下简称“东航”）作为中国三大国有骨干航空公司之一，一直关注并致力于保障高品质航空出行服务，作为航空从业者，安全是我们的根基，东方航空网络安全应急响应中心（MUSecurityResponseCenter，简称MUSRC）欢迎广大用户向我们反馈产品和业务的安全漏洞，以帮助我们提升产品和业务的安全性。我们希望借助MUSRC平台加强与安全业界各方的合作与交流，共同打造更加安全可信赖的出行生态。 2、东航非常重视自身产品和业务的安全问题，我们承诺，对每一位报告者反馈的问题都有专人进行跟进、分析和处理，并及时给予答复。

3、东航在跟进报告者反馈的问题时可能需要报告者的帮助，为了有效的跟进问题可能需要报告者协助一同复现问题，东航反对和谴责一切遮掩漏洞细节或抗拒协助的报告行为。对于提交高质量报告并在报告、反馈和积极响应跟进等过程中提供有效帮助的报告者，东航也会酌情给予相应的奖励。

4、东航支持负责任的漏洞披露和处理过程，我们承诺，对于每位恪守白帽子精神，保护用户利益，帮助东航提升安全质量的用户，我们将给予感谢和回馈。

5、东航反对和谴责一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益的黑客行为，包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞等。

6、东航反对和谴责一切利用安全漏洞恐吓用户、攻击竞争对手的行为。

7、东航认为每个安全漏洞的处理和整个安全行业的进步，都离不开各方的共同合作。希望企业、安全公司、安全组织、安全研究者一起加入到“负责任的漏洞披露”过程中来，一起为建设安全健康的互联网而努力。

8、尊重《中华人民共和国网络安全法》的相关规定。我们鼓励采用合法合规的方式测试漏洞。利用漏洞损害用户利益、影响业务运营、盗取用户数据、恶意传播漏洞或数据等涉嫌违反法律、行政法规规定或违反MUSRC漏洞管理规定、网站协议等的行为，MUSRC均保留追究法律责任的权利。

9、发现存在命令执行或任意文件上传等高危操作，如需要进一步测试，应同我航确认同意后进行测试。未经授权进一步获得数据或发现其他漏洞，我航将视情况降级1-3级。

10.严禁使用自动化漏扫或辅助工具发起高频扫描的行为，如通过东航安全监控系统对比发现漏洞提交者存在高频扫描，我们有权直接终止相关人员在MUSRC的全部权利；如因您上述行为给我们造成损失的，我们将依法向您追究因此受到的损失。

11.测试结果应仅限证明漏洞存在并可被利用（即POC）为止，严禁利用漏洞进行非法操作，包括但不限于：拖库、内网渗透等。

12.利益相关方注意事项：

（一）不是东航及其关联公司的正式员工或正式员工直系亲属、外包员工或因工作原因需接入东航网络的供应商、合作伙伴相关人员；

（二）不属于离职六个月内的东航其关联公司的正式员工；

二、适用范围

本标准适用于东方航空网络安全应急响应中心（https://src.ceair.com/）所收到的所有情报。

三、实施日期

本标准自2023年12月25日起施行。

四、修订记录

V1.0 2021-10-13 发布第一版

V2.0 2023-12-22 发布第二版

五、漏洞处理流程

【注册阶段】

白帽子访问MUSRC（https://src.ceair.com/）通过手机号注册后，登录本平台，需先实名认证（需上传身份证件正反面）后才方可提交漏洞。

【提交阶段】

白帽子登录MUSRC后提交东航相关安全漏洞（状态：待审核）。

【审核阶段】

1）一个工作日内，MUSRC工作人员会确认收到的安全漏洞信息并跟进开始评估问题（状态：审核中）。

2）三个工作日内，MUSRC工作人员处理问题、给出结论并记分。

如果审核人员复现并确认安全问题，则给出结论并给予积分与赏金奖励（状态：已通过）。

如果审核人员确认非东航安全问题或其他原因，可直接忽略并关闭该安全漏洞并反馈具体原因（状态：已忽略）。

如果审核人员未能复现并确认安全问题，必要时会联系白帽子补充信息，请白帽子予以协助。

【修复阶段】

东航内部制定修复计划并实施修复。在东航内部完成修复处理后，由审核人员进行复核验证，必要时会联系白帽子予以协助。

【关闭阶段】

在安全漏洞修复完成后，关闭该漏洞。

六、漏洞接收范围

1、目前接收：*.ceair.com。

*注意：caigou.ceair.com、wuye.ceair.com仅收高危及以上漏洞，切勿重复提交。

2、东航集团旗下所有分子公司仅接收高危及以上漏洞。

七、漏洞评级声明

1、评分标准仅针对对东航产品。域名包括但不限于*.ceair.com，服务器包括东航运营的服务器，产品为东航发布的客户端产品。

2、通用型漏洞或同一个漏洞源（同一组件、产品、系统）产生的多个同类问题一般计漏洞数量为一个，例如同一个JS引起的多个XSS漏洞、同一个发布系统引起的多个页面的XSS漏洞、框架导致的整站XSS/CSRF漏洞、泛域名解析产生的多个XSS漏洞、同一域名下同一组件产生的多个FlashXSS漏洞等、客户端同一个第三方组件引起的多个RCE漏洞。

3、具有互相依赖的关系和条件的多个漏洞，按照多个漏洞共同影响下能达到最大的危害评分，如后台弱口令导致的多个漏洞最终可造成命令执行和文件读取，仅按命令执行评分；又如多个漏洞导致文件读取和SSRF漏洞，评分应当高于SSRF漏洞低于命令执行漏洞评分。

4、对于缺乏关键因素（文字描述、图片证明、测试过程、风险接口和参数等），报告排版混乱，无法稳定复现的报告，仅提供请求不解释请求来源复现步骤的，仅提供敏感信息（密码密钥等）无法解释来源或来源违反MUSRC相关规范的将做降级/忽略处理；任何漏洞需要提供可稳定复现的EXP，未提供的评分不超过【中】；需要爆破难度较大的字段，例如6位及以上的验证码等，如不能在短时间内稳定复现，会降级或者忽略处理。以上降级/忽略处置自报告起至评分后5个工作日内解释说明、补充证明的不予降级，逾期解释不接受调整评分。

5、如果提交相关基础组件nday漏洞，提交的漏洞已公开，时间在3个月内且内部知晓该漏洞正在推修中，则忽略/驳回。例如同一产品的chromium内核漏洞，在修复周期内，重复报告其他问题不计分。

6、对于第三方库（比如libpng、zlib、libjpeg等）导致的客户端漏洞（包括PC和移动端），且可以通过升级或者更换第三方库可完成修复的漏洞，仅给首个漏洞报告者计分。

7、对于移动终端系统导致的通用型漏洞，比如webkit的uxss、代码执行等，仅给首个漏洞报告者计分，对于其它产品的同个漏洞报告，均不再另外计分。

8、由于客户端漏洞审核本身比较复杂并且涉及到其它的开发部门，审核时间可能较WEB漏洞长，有时可能由于报告者提供的漏洞细节不够详尽，导致MUSRC无法按原定时间内给出结论，请各位白帽子理解。因此请各位白帽子在反馈漏洞时提供POC/EXP与验证视频，并提供相应的漏洞分析，以加快管理员处理速度，对于POC或EXP未提供或者没有详细分析的漏洞提交将可能直接影响评分。

9、如果同一时间周期内提交同一客户端的多个漏洞，请报告者在反馈漏洞时明确给出导致漏洞和触发漏洞的关键代码，以帮助快速确认是否为相同漏洞，加快漏洞确认时间。

10、拒绝无实际危害证明的扫描器结果。

11、以安全测试为借口，利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的，将不会计分，同时东航保留采取进一步法律行动的权利。

12、禁止未经东航授权，私自公开漏洞的行为，一旦发现严肃处理，包括奖励取消、账户禁用等。

13、本标准所有内容最终解释权归MUSRC所有。

八、漏洞评分及奖励标准

任何漏洞都必须能够被证明其真实存在，即可通过POC触发并且产生实质性影响。应用系统根据其重要程度分为核心系统、一般系统，漏洞根据其危害程度分为严重、高危、中危、低危、忽略五个等级。每个漏洞的奖励由其危害程度、利用难度、影响范围和应用系统的重要程度等综合因素决定。

奖励主要有积分和赏金两种。积分用于荣誉奖励，如果白帽子提交漏洞时一并提供了漏洞利用的完整POC程序，我们将酌情增加积分。针对核心系统特别重大的安全漏洞将视情况给予额外奖励。

积分、赏金系数对应表如下：

1、漏洞赏金系数表

2、漏洞积分系数表

3、白帽等级进阶系数表

安全漏洞评级标准如下：

【严重】

1、直接获取核心系统权限的漏洞。包括但不限于：远程命令执行、远程代码执行、上传WebShell、SQL注入获取核心系统权限、缓冲区溢出等。

2、严重的敏感信息泄漏。包括但不限于：核心 DB的 SQL 注入、可获取大量常旅客敏感信息（至少包含5组敏感信息字段：姓名/身份证、旅客实时行程信息、银行卡信息、手机号/邮箱、密码、家庭地址）等。

3、核心系统的严重逻辑设计缺陷。包括但不限于：任意金额支付、任意账号支付等。

4、经综合评估认定的其他严重安全漏洞。

【高危】

1、直接获取一般系统权限的漏洞。包括但不限于：远程命令执行、远程代码执行、上传WebShell、SQL注入获取一般系统权限、缓冲区溢出、可造成严重危害的SSRF等。

2、敏感信息泄漏。包括但不限于：非核心DB的SQL注入、可获取大量常旅客敏感信息（至少包含3组敏感字段：姓名/身份证、旅客实时行程信息、银行卡信息、手机号/邮箱、密码、家庭地址）等。

3、逻辑设计缺陷。包括但不限于：任意管理员账号登录、任意管理员密码修改等。

4、核心系统越权操作。包括但不限于：核心系统普通用户权限批量越权访问、未授权访问等。

5、核心系统管理员弱口令。可以获取核心系统的管理员权限。

6、经综合评估认定的其他高危安全漏洞。

【中危】

1、需要交互才能获取用户身份信息的漏洞。包括但不限于：存储型XSS、重要业务操作（如支付类操作、修改个人账号敏感信息类操作）的CSRF等。

2、敏感信息泄漏。包括但不限于：源代码泄漏等。

3、逻辑设计缺陷。包括但不限于：可造成大金额损失的优惠券相关漏洞等。

4、一般系统越权操作。包括但不限于：一般系统普通用户权限批量越权访问、未授权访问等。

5、一般系统管理员弱口令。可以获取一般系统的管理员权限。

6、有回显的SSRF。

7、经综合评估认定的其他中危安全漏洞。

【低危】

1、需要交互才能获取用户身份信息的漏洞。包括但不限于：反射型XSS、CSRF等。

2、敏感信息泄漏。包括但不限于：SVN文件泄漏、LOG文件泄漏、PHPINFO、页面文件遍历等。

3、逻辑设计缺陷。包括但不限于：短信轰炸、任意账号注册等。

4、内部员工用户弱口令。可以获取相关业务系统的访问权限。

5、无法获取数据的SQL注入漏洞。

6、仅提供dnslog的log4j漏洞。

7、无回显的SSRF。

8、经综合评估认定的其他低危安全漏洞。

【忽略】

1、无法复现的漏洞。经漏洞审核人员确认无法复现的漏洞。

2、无法利用的漏洞。包括但不限于：无敏感操作的CSRF、无意义的异常信息泄漏、内网IP地址/域名泄漏、版本过低、401基础认证钓鱼、管理后台路径泄漏、example等默认demo未删除、无敏感信息的SVN文件泄漏、无敏感信息的JSONHijacking、无意义的源码泄露、无敏感信息的logcat信息泄漏、只有固定版本的小众浏览器才能触发的XSS、轮循多个手机的短信轰炸等。

3、无关安全的Bug。包括但不限于：产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等。

4、无法直接反映漏洞存在的其他问题。包括但不限于：纯属用户猜测、无法重现、未经验证的问题，以及无意义的扫描报告的问题（如：硬编码、无混淆、Activity组件劫持、未加固/脱壳反编译、Janus签名绕过等）。

5、非东航范围内或非东航安全漏洞（如东航页面嵌入的第三方应用系统或外包厂商测试系统等）。

6、经综合评估认定的其他可忽略的安全漏洞。

九、奖励兑换机制

1、漏洞审核员在审核通过白帽子提交的漏洞后，会根据评级标准为该漏洞分配对应的积分与赏金，在白帽子确认后生效。

2、积分用于荣誉奖励，MUSRC平台将每月初按照白帽子上一月度获得的积分排名发布月度贡献榜，每年初按照白帽子上一年度获得的积分排名发布年度贡献榜。

3、白帽子可在每月第1-5个工作日通过MUSRC平台发起提现申请，奖励发放一般在每月15日前完成。如果奖励发放有任何问题，请及时联系我们确认。

十、漏洞奖金发放规则

白帽需在每月最后1个工作日“之前”登录东航SRC登录发起漏洞奖金提现申请，每月最后1个工作日根据提现申请统计漏洞奖金，漏洞奖金将在次月10日发放。

如遇节假日，需在节假日前的最后1个工作日“之前”完成漏洞奖金提现申请，节假日的最后1日根据提现申请统计漏洞奖金。

备注：