公告编号:nsrc-003作者:NSRC发布日期:2021/08/19
适用范围
本标准适用于优路教育安全应急响应中心(https://security.niceloo.com)所收到的漏洞。
基本原则
NSRC非常重视自身产品和业务的安全,我们对每一位报告者反馈的问题都有专人进行跟踪、分析和处理,并及时给出答复。
NSRC希望广大白帽子发现优路教育相关业务漏洞时,及时提交漏洞,帮助我们维护系统安全性,我们会针对漏洞级别给与相应的积分奖励。
NSRC禁止一切以测试为借口,利用安全漏洞进行破坏、损害优路教育相关业务系统以及用户利益的攻击行为,包括但不限于威胁、恐吓SRC要公开漏洞或数据、利用漏洞盗取用户隐私或虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞等,如有此行为我们将保留追究法律责任的权利。
以安全测试为借口,利用情报信息进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据的行为的,漏洞均零分处理。同时优路教育有权利报案、举报、并配合刑事侦查机关提供相应的证据。
同一漏洞导致的多个利用点按照级别最高的奖励执行(如:同一个js引起的多个xss漏洞,同一个发布系统引起的多个页面的xss,通用框架导致的整站问题等)。
报告者在进行渗透测试时,如在线上对业务做增删改操作时,请勿直接对正常用户数据进行操作,数据添加请在标题或者明显字段增加【我是渗透测试】字样,以便于NSRC和业务方识别数据真实性。
请通过正常渠道与工作人员交流反馈问题,对于一些没有证据或使用非正当手段进行污蔑、诽谤等行为,工作人员将使用法律手段维护权益。
测试范围
优路教育的产品和业务,域名包括但不限于*.niceloo.com、*.geedu.com、*.youlu.com;服务器包括优路教育运营的服务器;产品包括优路教育发布的PC端网站、客户端产品、小程序等;以及针对优路教育的黑客攻击事件和涉及优路教育业务的安全问题。
处罚规定
1. 对于干扰业务的违规测试行为(包括但不限于以上“测试规范”内容),所提交漏洞积分为0,漏洞奖金将根据业务资损情况判定是否扣除。
2. 如有三次违规测试行为,将取消该年度平台福利、季度奖金和年度奖金资格。
3. 如触犯测试基本原则第3、4条,将取消所有奖励(漏洞奖励、平台福利、季度奖励和年终奖励等),同时我们将保留法律追责权力。
4. 以上处罚措施解释权归优路教育安全应急响应中心所有。
争议解决办法
漏洞处理过程中,如有漏洞报告者对处理流程、评分等具有异议的,可直接通过以下渠道进行反馈:
邮箱:security@youlu.com
