一、基本原则

1、中国东方航空（以下简称“我们”）作为中国三大国有骨干航空公司之一，一直关注并致力于保障高品质航空出行服务，作为航空从业者，安全是我们的根基，东航网络安全应急响应中心（MU Security Response Center，简称MUSRC）欢迎广大用户向我们反馈产品和业务的安全漏洞，以帮助我们提升产品和业务的安全性。我们希望借助MUSRC平台加强与安全业界各方的合作与交流，共同打造更加安全可信赖的出行生态。

2、对于帮助我们提升安全水平的网络安全从业人员（以下简称 “白帽子”），我们将给予感谢和回馈。对白帽子反馈的每一个问题我们将安排专人跟进、分析和处理。

3、尊重《中华人民共和国网络安全法》的相关规定。我们鼓励采用合法合规的方式测试漏洞。利用漏洞损害用户利益、影响业务运营、盗取用户数据、恶意传播漏洞或数据等涉嫌违反法律、行政法规规定或违反MUSRC漏洞管理规定、网站协议等的行为，MUSRC均保留追究法律责任的权利。

4、在漏洞未修复前，请您避免任何公开和传播。我们承诺：对每一份报告，都会有专门的安全人员进行评审、跟进并及时反馈最新的处理结果，并且我们会按照“漏洞奖励方案”对您的付出表示感谢。未经MUSRC书面许可，如您以任何形式公开已提交的漏洞，我们将扣除已确认奖励，并保留追究您违约或侵权行为的权利。

5、我们反对和谴责一切利用安全漏洞营销宣传、恐吓用户、攻击竞争对手的行为。

6、我们希望通过此平台与白帽子、安全爱好者建立友好关系，共同建立一个可信的、安全的、可靠的出行生态；

二、适用范围

《东方航空网络安全应急响应中心漏洞处理流程及评级标准》（以下简称“《处理流程及评级标准》”）适用于MUSRC收到的所有漏洞。

三、漏洞处理流程

【注册阶段】

白帽子访问MUSRC https://src.ceair.com 通过手机号注册后，登录本平台，需先实名认证（需上传身份证件正反面）后才方可提交漏洞。

【提交阶段】

白帽子登录MUSRC后提交东航相关安全漏洞（状态：待审核）。

【审核阶段】

1）一个工作日内，东航网络安全应急响应中心（以下简称MUSRC）工作人员会确认收到的安全漏洞信息并跟进开始评估问题（状态：审核中）。

2）三个工作日内，MUSRC 工作人员处理问题、给出结论并记分。

如果审核人员复现并确认安全问题，则给出结论并给予积分与赏金奖励（状态：已通过）；

如果审核人员确认非东航安全问题或其他原因，可直接忽略并关闭该安全漏洞并反馈具体原因（状态：已忽略）；

如果审核人员未能复现并确认安全问题，必要时会联系白帽子补充信息，请白帽子予以协助；

【修复阶段】

东航内部制定修复计划并实施修复。在东航内部完成修复处理后，由审核人员进行复核验证，必要时会联系白帽子予以协助。

【关闭阶段】

在安全漏洞修复完成后，关闭该漏洞。

三、漏洞接收范围

1、目前接收：*.ceair.com

注意：caigou.ceair.com/wuye.ceair.com 仅收高危及以上漏洞，切勿重复提交。

2、东航集团旗下所有分子公司仅接收高危及以上漏洞。

四、漏洞评级标准

任何漏洞都必须能够被证明其真实存在，即可通过POC触发并且产生实质性影响。应用系统根据其重要程度分为核心应用系统、一般应用系统、边缘应用系统，漏洞根据其危害程度分为严重、高危、中危、低危、无效五个等级。每个漏洞的奖励由其危害程度、利用难度、影响范围和应用系统的重要程度等综合因素决定。

奖励主要有积分和赏金两种。积分用于荣誉奖励，如果白帽子提交漏洞时一并提供了漏洞利用的完整POC程序，我们将酌情增加积分。针对核心系统特别重大的安全漏洞将视情况给予额外奖励。

积分、赏金系数对应表如下：

1）漏洞赏金系数表

2）漏洞积分系数表

3）白帽等级进阶系数表

安全漏洞评级标准如下：

【严重漏洞】

1、核心应用系统高危安全漏洞，可获得关键服务器权限；包括但不限于上传Webshell、任意代码执行、远程命令执行。

2、严重的信息泄露漏洞，可获得大量常旅客账户敏感数据（至少包含3个敏感字段：姓名/身份证、旅客实时行程信息、银行卡信息、手机号/邮箱、密码、家庭地址），经评估影响账户安全；

3、核心应用系统高严重的逻辑设计或流程缺陷，包括但不限于批量修改任意账号密码漏洞、任意账号资金消费、任意金额修改的支付漏洞等；

4、可破解核心加密算法，影响敏感数据的存储、传输等；

5、经综合评估认定的其他严重安全漏洞。

【高危漏洞】

1、直接获取应用系统服务器权限：包括但不限于任意命令执 行、上传webshell、任意代码执行等可获得服务器权限等；

2、直接导致重要的信息泄漏漏洞：包括但不限于SQL注入漏洞、源码泄露、账户及旅客行程等敏感信息批量泄露等；

3、严重的越权访：包括但不限于绕过认证访问重要系统后台；批量盗取用户重要身份信息等；

4、逻辑设计或流程缺陷，包括但不限于重要系统任意密码重置漏洞、前/后台等；

5、任意账号登录、任意金额支付、关键环节短信邮件验证码绕过等；

6、经综合评估认定的其他高危安全漏洞。

【中危漏洞】

1、需交互才能获取用户身份信息的漏洞。包括但不限于一般系统存储型XSS；

2、越权操作：包括但不限于普通用户权限批量越权访问、查看其他用户信息、管理后台访问；

3、应用缺陷导致的远程拒绝服务漏洞，不包括DDOS或CC方式；

4、应用系统管理员弱口令：可以获得该应用系统的管理员权限；

5、直接通过客户端可获取操作系统管理员的权限；

6、可远程窃取客户端数据等；

7、经综合评估认定的其他中危安全漏洞。

【低危漏洞】

1、无法获得数据的SQL注入漏洞；

2、Jsonp Hijacking、CSRF等漏洞；

3、一般信息泄露漏洞：包括但不限于路径泄露、SVN文件泄露、LOG文件泄露、Phpinfo、页面文件遍历；

4、因业务需要可能导致的撞库、爆破、遍历接口（获得的数据不涉及敏感信息）；

5、无法利用或者难以利用的漏洞：

6、参数或配置可能导致但无法证明的安全风险；

7、内部员工用户弱口令：可以获得相关业务系统的访问权限；

8、经综合评估认定的其他低危安全漏洞。

【无效漏洞】

1、不能复现的漏洞：经漏洞审核人员确认无法复现的漏洞；

2、无法利用的漏洞：如仅能反弹自己的Self-XSS；

3、非东航范围内或非东航安全漏洞（如东航页面嵌入的第三方应用系统或外包厂商测试系统等）；

4、包括但不限于反射型XSS；

5、经综合评估认定的其他可忽略的无效安全漏洞。

五、奖励兑换机制

1、漏洞审核员在审核通过白帽子提交的漏洞后，会根据评级标准为该漏洞分配对应的积分与赏金，在白帽子确认后生效。

2、积分用于荣誉奖励，MUSRC平台将每月初按照白帽子上一月度获得的积分排名发布月度贡献榜，每年初按照白帽子上一年度获得的积分排名发布年度贡献榜。

3、白帽子可在每月第1-5个工作日通过MUSRC平台发起提现申请，奖励发放一般在每月15日前完成。如果奖励发放有任何问题，请及时联系我们确认。

六、 漏洞奖金发放规则

白帽需在每月最后1个工作日“之前”登录东航SRC登录发起漏洞奖金提现申请，每月最后1个工作日根据提现申请统计漏洞奖金，漏洞奖金将在次月10日发放。

如遇节假日，需在节假日前的最后1个工作日“之前”完成漏洞奖金提现申请，节假日的最后1日根据提现申请统计漏洞奖金。

备注：

漏洞奖金提现申请过程中，银行卡信息需要“银行卡名称”和“银行卡开户支行网点（要包含城市区域）”信息，否则会存在漏洞奖金延期打款风险。填写示例：招商银行上海浦东大道支行

如有疑问可通过MUSRC官方Q群：665238327~进行咨询

七、争议解决办法

如果白帽子对审核人员反馈的审核结果（平台状态显示为已通过、已忽略）有异议，可在收到审核结果之日起一周内进行申诉，我们将会安排专门工作人员负责优先处理此类反馈。MUSRC将按照白帽子利益优先的原则进行处理，必要时引入第三方合作漏洞披露平台安全人士共同裁定。

东航网络安全应急响应中心目前处于起步阶段，我们深切地知道还有很多需要持续改进和优化完善的地方，敬请谅解。如果您有更好的意见和想法，可以通过邮件（itsr@ceair.com）与我们沟通、交流。

八、注意事项

1、《处理流程及评级标准》解释权归东方航空所有，我们有权根据情况对《处理流程及评级标准》进行调整并重新公告发布。

2、禁止白帽子在任何公共渠道或自媒体（如微博、论坛、社区、QQ群、公众号、朋友圈等）上公开漏洞细节。

3、同一个漏洞只认定首个提交并证明漏洞真实存在的报告者，后续报告者均不予以认定。

4、通用安全漏洞（如Struts2、Java反序列化等）披露的第1周内，我们仅认定首次提交有效POC（建议POC编写语言使用python、C）并证明东航已有应用系统受影响的情况；经过1周后如发现仍有未修复的漏洞则按单个漏洞按注意事项第3条进行处理。

5、严禁使用自动化漏扫或辅助工具发起高频扫描的行为，如通过东航安全监控系统对比发现漏洞提交者存在高频扫描，我们有权直接终止相关人员在MUSRC的全部权利；如因您上述行为给我们造成损失的，我们将依法向您追究因此受到的损失。

6、我们鼓励直接发现应用系统自身安全缺陷的行为，如果白帽子通过社会工程学获取应用系统访问权限后，必须证明其所获取的信息可以直接被利用并发现后续安全风险，否则一律按照低危第7条或中危第4条之规定进行处理。

7、测试结果应仅限证明漏洞存在并可被利用（即POC）为止，严禁利用漏洞进行非法操作，包括但不限于：拖库、内网渗透等。

8、利益相关方注意事项：

（一） 不是东航及其关联公司的正式员工或正式员工直系亲属、外包员工或因工作原因需接入东航网络的供应商、合作伙伴相关人员；

（二）不属于离职六个月内的东航其关联公司的正式员工；