公告编号:《SOUL安全应急响应中心服务条款》作者:admin发布日期:2026/07/14
V2.0 | 发布单位:上海任意门科技有限公司(Soul)
文档说明
适用范围
负责任的漏洞披露与安全港
基本原则
漏洞提交规范
漏洞处理流程
漏洞修复
产品范围
漏洞奖励标准
漏洞评级标准
安全情报奖励
奖励发放规则
不予奖励与禁止行为
争议处理
FAQ
联系方式
文档修订记录 · 免责声明
本标准用于规范 Soul 安全应急响应中心(SoulSRC)漏洞的收集、审核、修复及奖励流程,鼓励安全研究人员遵循负责任的漏洞披露原则,共同提升 Soul 产品与业务的安全水平。
本标准覆盖:Soul Web 产品、Soul App(Android / iOS)、Soul 官方域名及相关资产、Soul 云基础设施、Soul 开放平台及 API,以及 SoulSRC 认可纳入范围的其它业务。
本标准适用于通过 SoulSRC 提交的所有安全漏洞及安全情报,包括但不限于:Web 漏洞、App 漏洞、API 漏洞、云安全漏洞、身份认证漏洞、业务逻辑漏洞、安全情报、通用软件漏洞、第三方组件漏洞。
以下情况通常不属于奖励范围:与 Soul 无关的第三方系统、已公开漏洞、无法验证的问题、无实际安全影响的问题、产品功能缺陷(Bug)、UI/样式/兼容性问题。
Soul 提倡负责任的漏洞披露。请所有安全研究者在 SoulSRC 授权范围内开展测试,并严格遵守《网络安全法》《数据安全法》《个人信息保护法》等法律法规。
在漏洞提交后、经 Soul 书面授权披露前,请勿:
向任何第三方泄露漏洞细节;
在互联网发布或传播 PoC / Exploit;
下载、留存、传播或对外提供任何 Soul 用户数据;
利用漏洞影响业务正常运行,或造成数据篡改、删除、破坏;
利用漏洞获取任何非法利益,或从事其他违法违规活动。
测试最小化原则: 仅以证明漏洞存在为限,验证成功后立即停止,不扩大影响范围;一旦触及敏感数据,立即停止并第一时间提交报告。测试中请勿进行拒绝服务(DoS / DDoS)、植入后门、维持访问权限等行为。
安全港承诺: 对遵守本标准、善意开展研究的人员,Soul 视其行为为合法安全研究并提供合理保护,同时承诺:每份报告均经人工审核、尊重并感谢每位白帽、漏洞确认后给予合理奖励、保护研究人员身份信息。违反上述要求的,Soul 将取消奖励、禁用账户,并保留追究法律责任的权利。
4.1 审核 SoulSRC 对每份报告执行:接收 → 审核 → 复现 → 风险评估 → 修复跟踪 → 关闭,专人跟进并及时反馈。
4.2 合作 鼓励研究人员协助确认漏洞:提供完整 PoC / Exploit、复现步骤、测试账号(如需)、协助定位与验证修复。高质量报告在奖励评定时优先考虑。
4.3 公平 同一漏洞仅奖励首位有效报告者;重复提交不重复奖励;通用型漏洞仅奖励首次有效提交;已公开漏洞原则上不予奖励;奖励依危害等级与产品范围综合确定。
4.4 报告有效性 有效报告应:可稳定复现、存在真实安全风险、提供完整证明材料、能帮助定位问题、对业务安全有实际影响。
4.5 保密 修复前 SoulSRC 不公开漏洞详情,研究人员亦不得自行公开;经书面授权后,可发布不含具体产品名称、不含用户信息的匿名技术分析。
为加快审核,请在提交时提供:
漏洞类型与受影响资产(域名 / 接口 / App 版本);
完整复现步骤与 HTTP 请求包;
PoC / Exploit 或可一键复现的脚本;
复现截图或视频;
影响说明与(如有)修复建议。
客户端漏洞请注明触发漏洞的关键代码与系统/版本信息。材料不完整可能直接影响评级与审核时效。通用型漏洞(同一漏洞源产生的多个问题,如同一 JS/框架/泛解析导致的多个 XSS)计为一个。
阶段 | 状态 | 时效 |
提交 | 待审核 | 用户提交 |
确认收到 | 审核中 | 1 个工作日内 |
给出结论并评级 | 已确认 / 已忽略 | 3 个工作日内 |
复查 | 已复查 / 复查异议 | 报告者复查 |
必要时工作人员会与报告者沟通确认。每自然月第一周发布上月处理公告并致谢。
等级 | 修复时效 |
严重 / 高危 | 72 小时内 |
中危 | 3 个工作日内 |
低危 | 7 个工作日内 |
客户端漏洞 | 受版本发布限制,按实际情况确定 |
复查发现修复失败、修复不完整或存在绕过的,可重新提交,经确认后按新漏洞处理。
SoulSRC 按业务重要程度将纳入奖励计划的资产分为核心产品、普通产品、边缘产品,分类持续更新并在平台公示,最终解释权归 SoulSRC。
8.1 核心产品(影响核心业务及绝大多数用户):Soul App 核心功能、用户账号中心、支付及钱包系统、核心 API、核心业务后台。
8.2 普通产品:*.soulapp.cn、Web 业务系统、开放平台与 Open API、内部业务系统、数据分析平台、云资源、数据库管理平台、业务支撑系统。
8.3 边缘产品:活动页面、静态站点、历史业务、小程序及对核心业务影响较小的系统。
奖励综合漏洞危害等级、产品范围、报告质量、影响范围与修复价值确定。
漏洞等级 | 边缘产品 | 普通产品 | 核心产品 |
低危 | 20~50 | 50~80 | 80~200 |
中危 | 60~100 | 180~300 | 300~500 |
高危 | 480~640 | 600~800 | 1800~2400 |
严重 | 900~1000 | 2700~3000 | 6000~10000 |
同一等级内的具体取值依报告质量与实际危害确定,取值理由会在工单评论中说明。奖励标准如调整将提前公告,且不溯及已确认的漏洞。
具备完整利用链、根因分析、完整 HTTP 请求、Payload 说明、PoC/Exploit、修复建议、自动化复现脚本等的报告,可额外获奖。复杂漏洞(多步骤、多接口、多账号)建议提供详细利用过程。
核心/重点业务的高质量严重漏洞,除常规奖励外按季度额外评审发放,核心产品严重漏洞税后上限 5000 元。
综合严重/高危漏洞数量、报告质量、协助复现与修复、沟通效率、安全研究与风险治理贡献评选,奖励含现金、荣誉证书、定制礼品、年度安全专家称号等,当年公布。
等级 | 定义 |
严重 | 可直接控制核心系统或造成重大业务影响 |
高危 | 可获取敏感数据或突破重要安全边界 |
中危 | 对业务存在明显安全风险 |
低危 | 风险较低,影响有限 |
信息 | 不构成实际安全风险 |
10.1 严重
系统控制:远程命令执行(RCE)、上传 WebShell、获取服务器权限、提权、任意文件写入导致代码执行、可利用的缓冲区溢出。
身份认证:任意账号登录、任意密码/密保重置、任意身份接管。
支付资金:任意资金消费、任意余额修改、支付逻辑绕过、金融业务重大逻辑漏洞。
数据安全:获取核心数据库、SQL 注入获取服务器权限、大规模敏感数据泄露、源码泄露导致失陷。
业务可用性:核心业务拒绝服务(非 DoS/DDoS 资源耗费型)、大量客户端崩溃、核心服务不可用。
认证体系性缺陷 / 可获取内网核心资产的 SSRF。
10.2 高危
数据获取:SQL 注入、XXE、任意文件读取、系统层任意路径遍历。
权限绕过:后台未授权访问、后台弱口令、敏感接口绕过认证、JWT 验证绕过。
越权:越权修改他人信息、越权查看订单、越权访问敏感数据(垂直越权、核心 IDOR)。
Web 攻击:可自动传播的存储型 XSS(含 DOM 型)、蠕虫型 XSS、可自动传播 CSRF。
核心业务子域名接管 / 可探测并访问内网服务的 SSRF。
10.3 中危
普通存储型 XSS、反射型 XSS、涉及敏感操作的 CSRF。
普通越权(水平越权、非核心 IDOR)、普通逻辑漏洞、信息泄露、密码明文存储。
影响有限的核心业务未授权访问、作用于敏感操作的点击劫持。
10.4 低危
phpinfo、SVN/Git 信息泄露、目录浏览、轻微信息泄露。
URL 跳转、CRLF 注入、普通反射型 XSS、普通 CSRF、客户端本地拒绝服务。
10.5 信息(不计奖励) 判定为“信息”时须在评论留存依据:
页面样式/乱码/功能缺陷、普通报错、Self-XSS、无法利用的问题、无危害扫描结果、测试页面、推测性漏洞、无法复现的问题。
仅访问 DNSLog、无法触达内网、无实际影响的 SSRF(可触达内网的按中危及以上)。
确无数据且无可利用点的 Redis/ZooKeeper/Memcached 未授权访问(若存在公网暴露配置缺陷,按信息泄露/未授权访问评级)。
Soul 是社交平台,除技术漏洞外,用户的主要威胁来自黑灰产。SoulSRC 欢迎提交此类情报,帮助平台提前发现并打击黑灰产。
社交诈骗(杀猪盘、冒充官方、刷单、虚假投资、AI 换脸等)、违规引流、批量养号 / 盗号、群控刷量、数据爬取与倒卖、资金跑分洗钱,以及针对 Soul 的新型攻击手法与风险预警。
情报须真实、可验证,附涉事账号、话术记录、引流链接、收款账户等证明材料。请注意脱敏,仅提供必要线索,不得留存或传播他人隐私数据。
情报奖励独立于技术漏洞,因线索较多,标准整体从低,按实际治理价值弹性发放。
等级 | 说明 | 现金奖励(人民币元)→ 京东卡(元) |
严重 | 规模化黑灰产团伙、重大资金损失、大规模数据倒卖 | 1000~2000 |
高危 | 成链条的养号、引流、盗号、群控产业 | 300~1000 |
中危 | 新型手法样本、单点账号线索、风险预警 | 50~300 |
发放说明:以线索核实且对治理有实际帮助为前提;同一团伙 / 链路的多条线索合并计奖;仅奖励首位有效提交者;高价值情报可结合治理效果额外奖励。
12.1 常规奖励 漏洞确认后按最终审核结果发放,形式含现金、实物礼品、荣誉证书、定制周边等,以 SoulSRC 公告为准。多条漏洞奖励可累加。
12.2 季度奖励 以自然季度为周期,当季提交高危及以上漏洞数量 ≥ 3 且奖励排名前三者获奖:第一名 5000 元、第二名 3000 元、第三名 1000 元,以现金发放;当季无人达标则名额作废。
12.3 高质量奖励 提供根因分析、修复建议、自动化 PoC/检测工具、利用链分析、风险治理建议的,可获额外奖励。
13.1 不予奖励 无安全影响(样式/UI/功能缺陷、普通报错日志)、无法验证(无法复现、无证明材料、推测性、无法稳定利用)、重复漏洞(相同根因/组件/利用链,仅奖首位有效报告者)、仅扫描器输出(Nuclei/Nessus/AWVS/Burp/AppScan/Acunetix/OpenVAS 等)。扫描结果若结合人工验证、证明实际危害并形成完整利用链,可重新评估。
13.2 禁止行为(取消资格并可能追责):获取用户隐私数据、修改业务数据、长时间维持权限、留置 WebShell、拒绝服务攻击、恶意传播漏洞、未授权公开漏洞、利用漏洞谋利、威胁勒索企业。SoulSRC 保留终止合作及依法追责的权利。
对漏洞评级、奖励金额、漏洞归属、审核流程或修复状态有异议的,发送邮件至 sec@soulapp.cn 或联系平台微信 kym9356,申请复核。SoulSRC 按报告者合法利益优先原则,结合技术分析、业务影响与证据重新评估;复核仍无法达成一致的,双方可共同邀请独立安全专家参与裁定,过程与结论在工单中留痕。
Q:重复提交能获奖吗? 原则上仅奖励首位有效报告者。
Q:仅提交扫描器结果能获奖吗? 通常不予奖励,需结合人工验证、完整 PoC、利用证明与业务影响综合评估。
Q:漏洞可以公开吗? 修复完成且获书面授权后,方可公开技术细节,且不得展示产品名称或用户信息。
Q:客户端漏洞为何审核较慢? 涉及多平台/多版本验证、开发联调与发版周期。
Q:修复后还能重新提交吗? 可以。修复失败、不完整或存在绕过的,经确认按新漏洞处理。
官网:https://security.soulapp.cn
漏洞提交:https://security.soulapp.cn/index.php/report
联系邮箱:sec@soulapp.cn | 平台微信:kym9356
平台公告、奖励调整或规则更新,以 SoulSRC 官方发布内容为准。
版本 | 日期 | 说明 |
V1.0 | 2021-08-11 | 首次发布 |
V2.0 | 2026-07-14 | 重构结构、统一术语与排版,补齐处理/修复时效与季度奖励,保留原有规则及奖励标准 |
免责声明: 本标准适用于 SoulSRC 漏洞奖励计划,SoulSRC 保留对漏洞评级、奖励金额、产品范围及规则解释的最终决定权。若国家法律法规或公司安全政策变化,本标准将适时修订并以最新版本为准。我们欢迎所有遵循负责任漏洞披露原则的安全研究人员,与 Soul 一起构建更加安全、可信的互联网生态。