《Soul安全应急响应中心漏洞处理和评分标准V2.0_试行》

公告编号:《SOUL安全应急响应中心服务条款》作者:admin发布日期:2026/07/14

V2.0 | 发布单位:上海任意门科技有限公司(Soul)

目录

  1. 文档说明

  2. 适用范围

  3. 负责任的漏洞披露与安全港

  4. 基本原则

  5. 漏洞提交规范

  6. 漏洞处理流程

  7. 漏洞修复

  8. 产品范围

  9. 漏洞奖励标准

  10. 漏洞评级标准

  11. 安全情报奖励

  12. 奖励发放规则

  13. 不予奖励与禁止行为

  14. 争议处理

  15. FAQ

  16. 联系方式

  17. 文档修订记录 · 免责声明


    1. 文档说明

    本标准用于规范 Soul 安全应急响应中心(SoulSRC)漏洞的收集、审核、修复及奖励流程,鼓励安全研究人员遵循负责任的漏洞披露原则,共同提升 Soul 产品与业务的安全水平。

    本标准覆盖:Soul Web 产品、Soul App(Android / iOS)、Soul 官方域名及相关资产、Soul 云基础设施、Soul 开放平台及 API,以及 SoulSRC 认可纳入范围的其它业务。

    2. 适用范围

    本标准适用于通过 SoulSRC 提交的所有安全漏洞及安全情报,包括但不限于:Web 漏洞、App 漏洞、API 漏洞、云安全漏洞、身份认证漏洞、业务逻辑漏洞、安全情报、通用软件漏洞、第三方组件漏洞。

    以下情况通常不属于奖励范围:与 Soul 无关的第三方系统、已公开漏洞、无法验证的问题、无实际安全影响的问题、产品功能缺陷(Bug)、UI/样式/兼容性问题。

    3. 负责任的漏洞披露与安全港

    Soul 提倡负责任的漏洞披露。请所有安全研究者在 SoulSRC 授权范围内开展测试,并严格遵守《网络安全法》《数据安全法》《个人信息保护法》等法律法规。

    在漏洞提交后、经 Soul 书面授权披露前,请勿:

    • 向任何第三方泄露漏洞细节;

    • 在互联网发布或传播 PoC / Exploit;

    • 下载、留存、传播或对外提供任何 Soul 用户数据;

    • 利用漏洞影响业务正常运行,或造成数据篡改、删除、破坏;

    • 利用漏洞获取任何非法利益,或从事其他违法违规活动。

      测试最小化原则: 仅以证明漏洞存在为限,验证成功后立即停止,不扩大影响范围;一旦触及敏感数据,立即停止并第一时间提交报告。测试中请勿进行拒绝服务(DoS / DDoS)、植入后门、维持访问权限等行为。

      安全港承诺: 对遵守本标准、善意开展研究的人员,Soul 视其行为为合法安全研究并提供合理保护,同时承诺:每份报告均经人工审核、尊重并感谢每位白帽、漏洞确认后给予合理奖励、保护研究人员身份信息。违反上述要求的,Soul 将取消奖励、禁用账户,并保留追究法律责任的权利。

      4. 基本原则

      4.1 审核 SoulSRC 对每份报告执行:接收 → 审核 → 复现 → 风险评估 → 修复跟踪 → 关闭,专人跟进并及时反馈。

      4.2 合作 鼓励研究人员协助确认漏洞:提供完整 PoC / Exploit、复现步骤、测试账号(如需)、协助定位与验证修复。高质量报告在奖励评定时优先考虑。

      4.3 公平 同一漏洞仅奖励首位有效报告者;重复提交不重复奖励;通用型漏洞仅奖励首次有效提交;已公开漏洞原则上不予奖励;奖励依危害等级与产品范围综合确定。

      4.4 报告有效性 有效报告应:可稳定复现、存在真实安全风险、提供完整证明材料、能帮助定位问题、对业务安全有实际影响。

      4.5 保密 修复前 SoulSRC 不公开漏洞详情,研究人员亦不得自行公开;经书面授权后,可发布不含具体产品名称、不含用户信息的匿名技术分析。

      5. 漏洞提交规范

      为加快审核,请在提交时提供:

      • 漏洞类型与受影响资产(域名 / 接口 / App 版本);

      • 完整复现步骤与 HTTP 请求包;

      • PoC / Exploit 或可一键复现的脚本;

      • 复现截图或视频;

      • 影响说明与(如有)修复建议。

        客户端漏洞请注明触发漏洞的关键代码与系统/版本信息。材料不完整可能直接影响评级与审核时效。通用型漏洞(同一漏洞源产生的多个问题,如同一 JS/框架/泛解析导致的多个 XSS)计为一个。

        6. 漏洞处理流程

        阶段

        状态

        时效

        提交

        待审核

        用户提交

        确认收到

        审核中

        1 个工作日内

        给出结论并评级

        已确认 / 已忽略

        3 个工作日内

        复查

        已复查 / 复查异议

        报告者复查



        必要时工作人员会与报告者沟通确认。每自然月第一周发布上月处理公告并致谢。


        7. 漏洞修复

        等级

        修复时效

        严重 / 高危

        72  小时内

        中危

        3 个工作日内

        低危

        7 个工作日内

        客户端漏洞

        受版本发布限制,按实际情况确定

        复查发现修复失败、修复不完整或存在绕过的,可重新提交,经确认后按新漏洞处理。


        8. 产品范围

        SoulSRC 按业务重要程度将纳入奖励计划的资产分为核心产品、普通产品、边缘产品,分类持续更新并在平台公示,最终解释权归 SoulSRC。

        8.1 核心产品(影响核心业务及绝大多数用户):Soul App 核心功能、用户账号中心、支付及钱包系统、核心 API、核心业务后台。

        8.2 普通产品*.soulapp.cn、Web 业务系统、开放平台与 Open API、内部业务系统、数据分析平台、云资源、数据库管理平台、业务支撑系统。

        8.3 边缘产品:活动页面、静态站点、历史业务、小程序及对核心业务影响较小的系统。

        9. 漏洞奖励标准

        奖励综合漏洞危害等级、产品范围、报告质量、影响范围与修复价值确定。


        9.1 现金奖励(人民币元)→ 京东卡(元)

        漏洞等级

        边缘产品

        普通产品

        核心产品

        低危

        20~50

        50~80

        80~200

        中危

        60~100

        180~300

        300~500

        高危

        480~640

        600~800

        1800~2400

        严重

        900~1000

        2700~3000

        6000~10000

        同一等级内的具体取值依报告质量与实际危害确定,取值理由会在工单评论中说明。奖励标准如调整将提前公告,且不溯及已确认的漏洞。




        9.2 高质量报告奖

        具备完整利用链、根因分析、完整 HTTP 请求、Payload 说明、PoC/Exploit、修复建议、自动化复现脚本等的报告,可额外获奖。复杂漏洞(多步骤、多接口、多账号)建议提供详细利用过程。

        9.3 严重漏洞专项奖

        核心/重点业务的高质量严重漏洞,除常规奖励外按季度额外评审发放,核心产品严重漏洞税后上限 5000 元。

        9.4 年度特别奖励

        综合严重/高危漏洞数量、报告质量、协助复现与修复、沟通效率、安全研究与风险治理贡献评选,奖励含现金、荣誉证书、定制礼品、年度安全专家称号等,当年公布。

        10. 漏洞评级标准

        等级

        定义

        严重

        可直接控制核心系统或造成重大业务影响

        高危

        可获取敏感数据或突破重要安全边界

        中危

        对业务存在明显安全风险

        低危

        风险较低,影响有限

        信息

        不构成实际安全风险

        10.1 严重

        • 系统控制:远程命令执行(RCE)、上传 WebShell、获取服务器权限、提权、任意文件写入导致代码执行、可利用的缓冲区溢出。

        • 身份认证:任意账号登录、任意密码/密保重置、任意身份接管。

        • 支付资金:任意资金消费、任意余额修改、支付逻辑绕过、金融业务重大逻辑漏洞。

        • 数据安全:获取核心数据库、SQL 注入获取服务器权限、大规模敏感数据泄露、源码泄露导致失陷。

        • 业务可用性:核心业务拒绝服务(非 DoS/DDoS 资源耗费型)、大量客户端崩溃、核心服务不可用。

        • 认证体系性缺陷 / 可获取内网核心资产的 SSRF。

          10.2 高危

          • 数据获取:SQL 注入、XXE、任意文件读取、系统层任意路径遍历。

          • 权限绕过:后台未授权访问、后台弱口令、敏感接口绕过认证、JWT 验证绕过。

          • 越权:越权修改他人信息、越权查看订单、越权访问敏感数据(垂直越权、核心 IDOR)。

          • Web 攻击:可自动传播的存储型 XSS(含 DOM 型)、蠕虫型 XSS、可自动传播 CSRF。

          • 核心业务子域名接管 / 可探测并访问内网服务的 SSRF。

            10.3 中危

            • 普通存储型 XSS、反射型 XSS、涉及敏感操作的 CSRF。

            • 普通越权(水平越权、非核心 IDOR)、普通逻辑漏洞、信息泄露、密码明文存储。

            • 影响有限的核心业务未授权访问、作用于敏感操作的点击劫持。

              10.4 低危

              • phpinfo、SVN/Git 信息泄露、目录浏览、轻微信息泄露。

              • URL 跳转、CRLF 注入、普通反射型 XSS、普通 CSRF、客户端本地拒绝服务。

                10.5 信息(不计奖励) 判定为“信息”时须在评论留存依据:

                • 页面样式/乱码/功能缺陷、普通报错、Self-XSS、无法利用的问题、无危害扫描结果、测试页面、推测性漏洞、无法复现的问题。

                • 仅访问 DNSLog、无法触达内网、无实际影响的 SSRF(可触达内网的按中危及以上)。

                • 确无数据且无可利用点的 Redis/ZooKeeper/Memcached 未授权访问(若存在公网暴露配置缺陷,按信息泄露/未授权访问评级)。

                  11. 安全情报奖励

                  Soul 是社交平台,除技术漏洞外,用户的主要威胁来自黑灰产。SoulSRC 欢迎提交此类情报,帮助平台提前发现并打击黑灰产。

                  11.1 情报类型

                  社交诈骗(杀猪盘、冒充官方、刷单、虚假投资、AI 换脸等)、违规引流、批量养号 / 盗号、群控刷量、数据爬取与倒卖、资金跑分洗钱,以及针对 Soul 的新型攻击手法与风险预警。

                  11.2 提交要求

                  情报须真实、可验证,附涉事账号、话术记录、引流链接、收款账户等证明材料。请注意脱敏,仅提供必要线索,不得留存或传播他人隐私数据。

                  11.3 评级与奖励

                  情报奖励独立于技术漏洞,因线索较多,标准整体从低,按实际治理价值弹性发放。

                  等级

                  说明

                  现金奖励(人民币元)→ 京东卡(元)

                  严重

                  规模化黑灰产团伙、重大资金损失、大规模数据倒卖

                  1000~2000

                  高危

                  成链条的养号、引流、盗号、群控产业

                  300~1000

                  中危

                  新型手法样本、单点账号线索、风险预警

                  50~300

                  发放说明:以线索核实且对治理有实际帮助为前提;同一团伙 / 链路的多条线索合并计奖;仅奖励首位有效提交者;高价值情报可结合治理效果额外奖励。

                  12. 奖励发放规则

                  12.1 常规奖励 漏洞确认后按最终审核结果发放,形式含现金、实物礼品、荣誉证书、定制周边等,以 SoulSRC 公告为准。多条漏洞奖励可累加。

                  12.2 季度奖励 以自然季度为周期,当季提交高危及以上漏洞数量 ≥ 3 且奖励排名前三者获奖:第一名 5000 元、第二名 3000 元、第三名 1000 元,以现金发放;当季无人达标则名额作废。

                  12.3 高质量奖励 提供根因分析、修复建议、自动化 PoC/检测工具、利用链分析、风险治理建议的,可获额外奖励。

                  13. 不予奖励与禁止行为

                  13.1 不予奖励 无安全影响(样式/UI/功能缺陷、普通报错日志)、无法验证(无法复现、无证明材料、推测性、无法稳定利用)、重复漏洞(相同根因/组件/利用链,仅奖首位有效报告者)、仅扫描器输出(Nuclei/Nessus/AWVS/Burp/AppScan/Acunetix/OpenVAS 等)。扫描结果若结合人工验证、证明实际危害并形成完整利用链,可重新评估。

                  13.2 禁止行为(取消资格并可能追责):获取用户隐私数据、修改业务数据、长时间维持权限、留置 WebShell、拒绝服务攻击、恶意传播漏洞、未授权公开漏洞、利用漏洞谋利、威胁勒索企业。SoulSRC 保留终止合作及依法追责的权利。

                  14. 争议处理

                  对漏洞评级、奖励金额、漏洞归属、审核流程或修复状态有异议的,发送邮件至 sec@soulapp.cn 或联系平台微信 kym9356,申请复核。SoulSRC 按报告者合法利益优先原则,结合技术分析、业务影响与证据重新评估;复核仍无法达成一致的,双方可共同邀请独立安全专家参与裁定,过程与结论在工单中留痕。

                  15. FAQ

                  Q:重复提交能获奖吗? 原则上仅奖励首位有效报告者。

                  Q:仅提交扫描器结果能获奖吗? 通常不予奖励,需结合人工验证、完整 PoC、利用证明与业务影响综合评估。

                  Q:漏洞可以公开吗? 修复完成且获书面授权后,方可公开技术细节,且不得展示产品名称或用户信息。

                  Q:客户端漏洞为何审核较慢? 涉及多平台/多版本验证、开发联调与发版周期。

                  Q:修复后还能重新提交吗? 可以。修复失败、不完整或存在绕过的,经确认按新漏洞处理。

                  16. 联系方式

                  • 官网:https://security.soulapp.cn

                  • 漏洞提交:https://security.soulapp.cn/index.php/report

                  • 联系邮箱:sec@soulapp.cn | 平台微信:kym9356

                    平台公告、奖励调整或规则更新,以 SoulSRC 官方发布内容为准。

                    17. 文档修订记录 · 免责声明

                    版本

                    日期

                    说明

                    V1.0

                    2021-08-11

                    首次发布

                    V2.0

                    2026-07-14

                    重构结构、统一术语与排版,补齐处理/修复时效与季度奖励,保留原有规则及奖励标准

                    免责声明: 本标准适用于 SoulSRC 漏洞奖励计划,SoulSRC 保留对漏洞评级、奖励金额、产品范围及规则解释的最终决定权。若国家法律法规或公司安全政策变化,本标准将适时修订并以最新版本为准。我们欢迎所有遵循负责任漏洞披露原则的安全研究人员,与 Soul 一起构建更加安全、可信的互联网生态。