欢迎各位师傅加入马上消费SRC，我们坚持以用户为中心，期待每位有正义感的安全从业者加入，一起守护用户安全，共建良好的网络安全生态。

第一章 总则

第一条 适用范围：本标准适用于马上消费金融股份有限公司安全响应中心所收到的所有漏洞及情报报告。

第二条 基本原则：

（一）马上消费金融股份有限公司（下称“马上消费”）非常重视自身产品和业务的安全问题，马上消费安全响应中心（Security Response Center，SRC）负责统一接收马上消费全线产品和业务的安全漏洞及情报。

（二）马上消费SRC承诺，对每一位白帽师傅反馈的问题，都有专人跟进处理，并及时答复。对每一位提交有效报告、帮助马上消费提升安全质量的白帽师傅，都将致以诚挚感谢和丰富奖励。

（三）马上消费SRC鼓励负责任的漏洞披露和处理过程，反对一切以漏洞测试为由，利用安全漏洞进行破坏、损害用户利益的行为，包括但不限于恶意公开漏洞、窃取用户数据及财产、入侵业务系统等。

（四）请不要在任何情况下泄露漏洞测试过程中所获知的任何信息，包括但不限于在线文档、网盘、社交媒体等第三方平台上存储、传播或讨论漏洞/情报详情。如需要补充漏洞详情或复现视频，请直接通过马上消费SRC平台提交，禁止使用第三方平台存储漏洞相关信息。

（五）如希望在漏洞修复后公开讨论，或向第三方披露漏洞，包括不限于会议演讲、发表技术文章等形式，请提前联系security@msxf.com获得书面授权。马上消费将对违法违规者保留采取进一步法律行动的权利。

（六）如对漏洞评级结果有争议，欢迎通过security@msxf.com反馈。

（七）马上消费员工不得参与或通过亲友参与漏洞奖励计划。一经发现，马上消费有权不给予奖励，已给予奖励有权收回，同时封禁平台账号，并保留进一步内部处理的权力。

（八）请白帽师傅严格遵守SRC安全测试规范。

第二章  评分标准通用原则

第三条 评分标准仅针对对于马上消费产品和业务有影响的安全漏洞和威胁情报。域名包括但不限于*.msxf.com、*.msxfcloud.com，服务器包括马上消费运营的服务器，产品为马上消费发布的客户端产品。对马上消费业务安全无潜在影响的报告，不计分。

第四条 对于马上消费不再更新的客户端产品、非马上消费直接发布的产品和业务或是马上消费开放平台的第三方应用报告，均不计分。

第五条 通用型漏洞或同一个漏洞源（同一组件、产品、系统）产生的多个同类问题一般计漏洞数量为一个，并根据漏洞实际报告情况给予一定的额外倍数奖励。例如同一个JS引起的多个 XSS 漏洞、同一个发布系统引起的多个页面的XSS漏洞、框架导致的整站XSS/CSRF漏洞、泛域名解析产生的多个XSS漏洞、同一域名下同一组件产生的多个Flash XSS漏洞等、客户端同一个第三方组件引起的多个RCE漏洞。

第六条 具有互相依赖的关系和条件的多个漏洞，按照多个漏洞共同影响下能达到最大的危害评分，如后台弱口令导致的多个漏洞最终可造成命令执行和文件读取，仅按命令执行评分；又如多个漏洞导致文件读取和SSRF漏洞，评分应当高于SSRF漏洞低于命令执行漏洞评分。

第七条 对于缺乏关键因素（文字描述、图片证明、测试过程、风险接口和参数等），报告排版混乱，无法稳定复现的报告，仅提供请求不解释请求来源复现步骤的，仅提供敏感信息（密码密钥等）无法解释来源或来源违反马上消费SRC相关规范的将做降级/忽略处理；任何漏洞需要提供可稳定复现的exploit，未提供的评分不超过【中】；需要爆破难度较大的字段，例如6位及以上的验证码等，如不能在短时间内稳定复现，会降级或者忽略处理。以上降级/忽略处置自报告起至评分后5个工作日内解释说明、补充证明的不予降级，逾期解释不接受调整评分。

第八条 提交漏洞时，涉及网络请求原始数据包或漏洞利用代码，需要提供纯文本或附件，不能仅提供截图。

第九条 如果提交相关基础组件nday漏洞，提交的漏洞已公开，时间在3个月内且内部知晓该漏洞正在推修中，则忽略/驳回。例如同一产品的chromium内核漏洞，在修复周期内，重复报告其他问题不计分。

第十条 对于第三方库（比如 libpng、zlib、libjpeg 等）导致的客户端漏洞（包括PC和移动端），且可以通过升级或者更换第三方库可完成修复的漏洞，仅给首个漏洞报告者计分。 对于其他产品的同个漏洞报告，均不再另外计分。

第十一条 对于移动终端系统导致的通用型漏洞，比如webkit的uxss、代码执行等，仅给首个漏洞报告者计分，对于其它产品的同个漏洞报告，均不再另外计分。

第十二条 由于客户端漏洞审核本身比较复杂并且涉及到其它的开发部门，审核时间可能较Web漏洞长，有时可能由于报告者提供的漏洞细节不够详尽，导致马上消费SRC无法按原定时间内给出结论，请各位白帽师傅理解。因此请各位白帽师傅在反馈漏洞时提供PoC/exploit与验证视频，并提供相应的漏洞分析，以加快管理员处理速度，对于未提供PoC或exploit或者没有详细分析的漏洞提交将可能直接影响评分。

第十三条 如果同一时间周期内提交同一客户端的多个漏洞，请报告者在反馈漏洞时明确给出导致漏洞和触发漏洞的关键代码，以帮助快速确认是否为相同漏洞，加快漏洞确认时间。

第十四条 对于第三方通用型漏洞导致的安全问题，依据通用漏洞奖励标准。

第十五条 报告者复查安全问题时如果发现安全问题仍然存在或未修复好，当作新报告继续计分。

第十六条 同一条报告，第一个报告者得分，其他报告者不得分；提交网上已公开的报告不计分。

第十七条  拒绝无实际危害证明的扫描器结果。

第十八条 以安全测试为借口，利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的，

将不会计分，同时马上消费保留采取进一步法律行动的权利。

第十九条 禁止未经马上消费授权，私自公开漏洞的行为，一旦发现严肃处理，包括但不限于奖励取消、 账户禁用等。

第二十条 本标准所有内容最终解释权归马上消费SRC 所有。

第三章 漏洞/威胁情报反馈与处理流程

第二十一条 预报告阶段：报告者注册马上消费SRC账号。

第二十二条 报告阶段：报告者登陆马上消费SRC，提交反馈报告（状态：待审核）。

第二十三条 处理阶段：

（一）1个工作日内，马上消费SRC工作人员将确认收到的报告并跟进开始评估问题（状态：审核中）。

（二）8个工作日内，马上消费SRC完成所有漏洞的评分，如报告者认为属于紧急情况可联系security@msxf.com加急处理。

第二十四条 修复阶段： 业务部门修复报告中反馈的安全问题并安排更新上线（状态：已修复）。修复时间根据问题的严重程度及修复难度而定，一般来说，严重和高风险问题24小时内，中风险3个工作日内，低风险8个工作日内。客户端安全问题受版本发布限制， 修复时间根据实际情况确定。

第二十五条 完成阶段：报告者可使用积分兑换现金，兑换完成后，马上消费SRC为报告者发放奖励；此外，马上消费SRC还将持续举办线上及线下活动，报告者可优先参与。

第四章 评分标准

第二十六条 基本原则：马上消费SRC接收的报告主要包含三大部分的内容：业务漏洞、安全情报、通用软件漏洞。根据目前马上消费产品的重要程度和发展现状，我们将在漏洞赏金范围内的产品划分为核心产品、重点产品、其他产品，下面分别描述其范围。

第二十七条 产品范围

（一）核心产品：影响绝大多数马上消费用户的核心产品功能（列表持续更新）：

1. 安逸花APP

2. 马上金融APP

3. 优逸花APP

（以上APP基于所有的Android、IOS、鸿蒙版本）

4. 马上消费官网（www.msxf.com）

5. 安逸花官网(anyihua.msxf.com)

（二）重点产品：包含绝大部分马上消费旗下产品和业务，包括但不限于移动应用、客户端、小程序、Web站点、服务器服务等产品模式。

（三）其他产品：马上消费旗下其他业务产生的移动应用、客户端、小程序、Web 站点等相关产品；一般表现为平台用户少于100人、平台数据实时性低于1天、客户端产品较长时间未更新等；也包含承载了马上消费业务但非马上消费开发、运维、运营的应用、小程序后端、API站点、服务器等。

第五章 马上消费SRC积分体系

第二十八条 积分体系计算方式：基于以上的产品范围描述，马上消费SRC针对不同产品范围的安全报告构建起积分体系，并根据该体系作为主要参考为白帽子提供奖励。

（一）计算公式：单个漏洞积分 = 漏洞危害系数 × 产品贡献系数

（二）积分：依据该体系，当白帽子提供一个核心产品（见上述核心产品范围描述）的严重漏洞并获得最终确认时，白帽子将可能获得至少 230 × 9 = 2070 的积分奖励。其余情况见下表：

（三）现金奖励：1个积分值人民币5元，对应的现金奖励范围如下：

（四）漏洞报告质量奖：马上消费SRC鼓励白帽子提供更加清晰、定位明确且能帮助业务快速跟进的漏洞报告，并为高质量报告者提供最高100积分额外奖励。

漏洞报告内容需包含：

【漏洞标题】漏洞标题、影响域名、漏洞类型等；

【漏洞描述】漏洞入口、涉及URL、参数、应用版本等；

【复现过程】按步骤对漏洞进行复现，并在过程中体现漏洞的影响和危害，一般以文字截图形式，若使用工具，请提供工具名称；

【修复方案】请提供可执行的修复建议，如代码修复建议或防护策略等。

第六章 严重漏洞额外现金奖

第二十九条 对于为核心业务提供高质量严重漏洞报告的白帽子，马上消费SRC将根据漏洞是否涉及用户数据、是否涉及金融交易、对业务产生的实际危害，对漏洞进行二次综合评估，根据评估结果发放除基础漏洞奖励之外的额外现金奖励，通过“月度奖励”形式进行发放。奖励标准如下：

核心产品的严重漏洞：税后1万元以上人民币

第七章 重大安全事件

第三十条 根据报告内容对马上消费产生的实际影响进行评估，对正在给马上消费造成重大损失的报告进行奖励，奖金10万元起步，上不封顶。重大安全事件包括不限于：

（一）大批量获取核心业务敏感信息：如大批量用户身份信息，用户账号密码等信息泄露；

（二）重大金额损失风险：如严重的逻辑设计缺陷，活动规则或优惠券设置错误等情况可导致大批量薅羊毛；

（三）核心系统权限问题：如核心系统业务被入侵，重要核心数据库被拖取，大批量控制核心系统用户权限等；

（四）其他能对马上消费造成巨大影响和伤害的事件。

第八章 业务漏洞评分标准

第三十一条 每个漏洞会根据技术维度和业务维度进行综合评估，技术维度主要包括用户交互、攻击媒介、前置条件等三个方面。请白帽师傅在提交漏洞前参考评分标准，合理、客观地填写自评等级。如出现多次自评等级虚高将扣分处理。

（一）技术维度

（二）业务维度

第三十二条 根据漏洞危害程度分为严重、高、中、低、无五个等级，每个等级评分如下，每个等级也会按照上表进行综合评判，重要程度低、影响小、需要额外条件的将在原有评分上依情况减少评分。

（一）严重漏洞

1. 直接获取权限的漏洞（仅限于马上消费所属的关键服务器权限、可通过核心产品批量获取客户端权限）。包括但不限于远程任意命令执行、上传webshell 等。

2. 直接导致严重的信息泄漏漏洞，包括但不限于安逸花APP、马上金融APP或后续产生的同体量平台，涉及到可能影响用户身份信息安全的信息。

3. 直接导致严重影响的逻辑漏洞。包括但不限于针对核心业务伪造任意账号、批量修改任意账号密码漏洞。

4. 直接影响现金的（非等价现金的虚拟商品），需满足可直接提现且无利用限制，并且影响金额超过10万元。

（二）高危漏洞

1. 能直接盗取用户身份信息的漏洞。重要业务重要页面的XSS漏洞（低交互、易传播、可影响大量用户）、马上消费业务站点的可读取数据库表字段名的SQL注入漏洞（注：SQL 注入白帽子可读取当前表的第一个字段的前两个字符作为佐证，不可直接利用SQL注入获取用户数据；存储型XSS漏洞不建议采取盲打、破坏页面结构等类型的payload语句，建议采用console.log方式验证）。

2. 可获取敏感信息或者执行敏感操作的核心客户端产品的XSS漏洞。

3. 未授权访问管理平台并使用管理员功能，包括但不限于敏感管理后台登录；相关平台的活跃度、用户基数（用户不少于千人）、功能重要性、用户信息敏感度等都将作为高危漏洞的评级标准。

4. 高风险的信息泄漏漏洞。包括但不限于可直接利用的敏感数据泄漏，可导致站点大量用户身份信息泄露的漏洞或直接对业务造成高风险的信息。需泄漏三个及以上的敏感信息字段，且影响数量超过一万条；如不满足，按照实际情况酌情评分（敏感信息字段是指个人真实姓名、身份证号、住址、联系方式、银行卡号、完整交易信息、医疗信息等）。

5. 直接远程获取客户端权限的漏洞。包括但不限于远程任意命令执行、可利用的远程缓冲区溢出、可利用浏览器use-after-free漏洞、可利用远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行漏洞。

6. 越权使用他人身份进行所有敏感功能操作。

7. 能直接访问马上消费内网且可获取回显的SSRF漏洞，需证明该漏洞点确实可以访问内网，且不得对内网服务进行扫描；SSRF不区分业务性质，统一按照重点业务计分。SSRF评级：无回显SSRF中3，仅图片回显SSRF中4-5，部分回显SSRF高6（例如回显字数有限制，但图片回显不算做此类），全回显 SSRF高7-8。

8. 任意文件读写漏洞，包括业务使用的能进行全站的COS任意文件读写、覆盖漏洞。

9. 在业务、产品预期之外，单用户可任意获取、转移具有现金价值的虚拟商品，影响现金价值超过5000元。

（三）中危漏洞

1. 需交互才能获取用户身份信息的漏洞。包括但不限于重要敏感操作的CSRF等。

2. 远程应用拒绝服务漏洞（无交互的）、内核拒绝服务漏洞、可获取敏感信息或者执行敏感操作的客户端产品的 XSS漏洞。

3. 普通信息泄漏漏洞。包括但不限于客户端明文存储密码、密码明文传输、包含敏感信息的源代码压缩包泄漏。

4. 本地任意代码执行。包括但不限于本地可利用的堆栈溢出、UAF、double free、 format string、本地提权（从普通用户提升到Administrator或System且客户端产品为默认设置)、文件关联的DLL劫持（不包括以下几种情况：加载不存在的DLL文 件、加载正常DLL未校验合法性、需要管理员权限操作、需要用户大量交互以及基于KnownDLLs缺陷所导致的DLL劫持等）以及其它逻辑问题导致的本地代码执行漏洞。

5. 能直接访问马上消费内网但无回显的SSRF漏洞，需要证明该漏洞点确实可以访问内网，且不得对内网服务进行扫描。

6. 非重要功能的单接口越权漏洞最高不超过中危。

（四）低危漏洞

1. 只在特定非流行浏览器环境下（不接收IE等过老浏览器的问题）才能获取用户身份信息的漏洞。包括但不限于存储型 XSS、反射型 XSS、DOM-XSS等。

2. 轻微信息泄漏漏洞。包括但不限于GitHub泄露的非敏感系统源码及密码、SVN文件泄漏、phpinfo、logcat敏感信息泄漏、正确的内网账号密码。

3. URL 跳转。包括但不限于msxf.com等重要子域名下的马上消费URL跳转漏洞，需要证明无任何提示且未使用其他方式多次跳转或中转，则认为存在漏洞，否则不存在。

4. 无限制短信轰炸漏洞。

5. 难以利用但又可能存在安全隐患的问题。包括但不限于可能引起传播和利用的Self-XSS、非重要的敏感操作CSRF以及需借助中间人攻击的远程代码执行漏洞并提供有效 PoC。

（五）无危害漏洞

1. 无关安全的bug。包括但不限于网页乱码、网页无法打开、某功能无法用。

2. 无法利用的“漏洞”。包括但不限于没有实际意义的扫描器漏洞报告（如Web Server的低版本）、Self-XSS、无敏感信息的JSON Hijacking、无敏感操作的CSRF（如收藏、非重要业务的订阅、非重要业务的普通个人资料修改等)、无意义的源码泄漏、无意义的并发问题、无任何意义或影响的越权（不影响他人）、内网IP地址/域名泄漏、401基础认证钓鱼、程序路径信任问题、无敏感信息的logcat信息泄漏。

3. 部分风险过低或难以利用的问题。包括不限于PDF XSS、邮箱轰炸、无法请求内网的SSRF、并发请求操作某些产品中不重要的数据（如浏览量、报名人数、不重要的点赞评分功能）、无意义的API Key泄露、本地拒绝服务漏洞、CORS跨域风险、低版本TLS风险；未提供成功案例，只是说明理论可行（例如只提供dnslog 的“log4j2 命令执行漏洞”）。

4. 不能直接反映漏洞存在的问题，包括不限于无任何证据的猜测，无法重现、未经验证、无意义的扫描报告的问题。

5. 运营预期之内或无法造成资金损失的问题、符合业务预期的产品设计，包括但不限于可使用多个账号领取小额奖励的正常业务活动。

6. 非马上消费金融股份有限公司业务的漏洞。

第九章 安全情报评分标准

第三十三条 安全情报说明

（一）接收范围：安全情报是指马上消费的产品和业务漏洞相关的情报，包括但不限于漏洞线索、攻击线索、攻击者相关信息、攻击方式、攻击技术等。

（二）报告要求：情报报告必须经过情报提供者的验证和复现并提供相关证明材料（不限于复现截图和视频）用于证明威胁情报真实有效；情报提供者需写清事实依据，同时应该反馈详细复现信息包括但不限于复现行为开始时间，复现行为结束时间，复现结果和结果证明，复现账号和ID 等。

（三）评分标准：根据危害及情报提供情况详细评分标准如下：

1. 安全事件情报：入侵事件情报、数据泄露情报、流量劫持情报、重大0day漏洞、黑灰产情报等；

2. 业务安全情报：营销漏洞、活动薅羊毛、欺诈套现、数据售卖等；

3. 内容安全情报：反动色情或其他违法内容等；

4. 其他安全情报： 其他能够对马上消费造成危害的情报信息。

第三十四条 情报完整性说明

（一）情报完整性是情报评分的重要依据，提交时应包含威胁情报场景对应的关键线索（威胁来源、利用路径、利用方法、风险类型、发生时间、损失预估）：

1. 威胁来源：情报涉及到的威胁组织、人员，能够帮助SRC对事件溯源分析、事件扩散面分析，帮助定位到攻击者个体或组织的信息；

2. 利用路径（必须提供项）：情报涉及的利用点，如攻击个人或组织攻击的具体页面或接口；

3. 利用方法（必须提供项）：情报涉及的问题是如何被利用的，包括情报涉及的作弊或攻击使用的技术手段、流程步骤或工具等；

4. 风险类型：简要分析情报涉及的问题，如：数据泄露、漏洞、刷单等；

5. 发生时间：情报需要用到的重要时间点，如从XX时间开始，到XX时间结束；

6. 损失预估：情报涉及的问题已造成的损失，如泄露了XX条敏感数据；

第三十五条 情报等级评审标准

（一）根据情报危害程度及情报完整性将等级划分为严重、高危、中危、低危四个等级，每个等级的奖励与漏洞奖励标准保持一致。

（二）安全情报奖励见上述“马上消费SRC积分体系”。

第三十六条 无效情报

（一）无效情报是指错误、无意义或根据现有信息无法调查利用的威胁情报。例如：

1. 上报虚假捏造或人为制造的情报信息；

2. 上报已发现或失效情报；

3. 仅上报黑/灰产联系方式，且未提供其他有效信息；

4. 仅提供单个截图或单个网址，且未提供其他有效信息；

第十章 通用软件漏洞评分标准

第三十七条 关于第三方软件通用漏洞，建议您向软件官方以及国家相关漏洞平台报告。如果您发现马上消费的业务也受到通用漏洞影响，请提交漏洞及受影响业务的报告。

第十一章 奖励发放原则

第三十八条 基础奖励

（一）发放方式：奖品使用积分发放，积分由漏洞/威胁情报危害系数乘以相应产品贡献系数而得，危害等级系数参考“业务漏洞评分标准”章节（该系数将根据业务发展的实际情况调整，每次调整将通过公告发布），多个漏洞/威胁情报产生的积分可累加。除非特别声明，未使用的积分不会过期。

（二）现金兑换：请知悉我们将收集您的姓名、身份证号码、银行卡、联系方式等信息，这些信息将用于汇款，如果您拒绝提供，平台将无法完成现金奖励发放。

第三十九条 额外现金奖&重大安全事件

（一）我们鼓励白帽师傅提交高质量的报告，对于满足如下规则的师傅们，我们将提供额外现金奖励：

1. 为核心业务提供高质量严重漏洞报告（详见上述“严重漏洞额外现金奖”）。

2. 对正在给公司造成重大损失的情报进行高额单独奖励（详见上述“重大安全事件”）

第十二章 争议解决办法

第四十条 在报告处理过程中，如您对处理流程、审核评级有任何疑问或异议，可邮件至security@msxf.com 与我们及时沟通。《外报漏洞处理和评分标准》解释权归马上消费安全响应中心所有，我司有权结合公司情况对《外报漏洞处理和评分标准》进行不时调整。