富友SRC喊你来挖洞啦

    在充满不确定的2022年里，感谢所有白帽子英雄依旧坚定地捍卫着广大用户的安全与利益。在富友SRC反馈了有效的安全问题。在此富友安全应急响应中心对所有关心支持富友安全的白帽子表示衷心的感谢。

此致

2021年3月12日—2023年9月1日

一、项目详情

    fuiou.com、fuioupay.com为重点关注域名，涉及到的核心业务可能会较多。  

1. CSRF敏感功能项收取漏洞，一般涉及到核心业务为中危，其他业务为低危。

2. XSS存储型漏洞收，XSS反射型漏洞不收。

3. 若漏洞导致商户自己泄露相关信息，若对富友本身业务数据没有相关影响，则漏洞可能不会收。

4. 扫描器尽量白天使用，避开中午等餐饮业营业高峰时段。

   
   

二、项目奖励

    贡献值和安全币计算方法：  

1、【安全币】由漏洞对应的危害程度以及业务的重要程度决定  。

2、【举例】以一个直接获取核心 WEB 服务器权限的严重漏洞为例  奖励 = 安全币（贡献值）x 5RMB = 1200 x 5 = 6000RMB  1安全币=5RMB 其余漏洞评分依次类推。

安全币对应表如下：

三、业务划分

    FSRC根据富友业务的重要程度分为：  【核心业务】、【一般业务】、【边缘业务】

核心业务定义为：业务中涉及会员、资金、交易、品牌等的支付类核心业务；  

一般业务定义为：业务中涉及会员、资金、交易、品牌等的非支付类一般业务，如第三方合作项目、聚合平台；  

边缘业务定义为：业务中不涉及会员、资金、交易、品牌等的非支付类业务，包括由富友第三方供应商提供的系统、使用富友域名发布的合作方系统等。

四、温馨提示

1.漏洞及漏洞中的数据禁止利用和传播，测试获取的数据及时删除。  

2.禁止使用扫描器进行大规模扫描，造成业务系统或网络不可用则按相关法律处理。  

3.测试漏洞仅限证明性测试，严禁破坏性测试，若无意中造成危害，应及时QQ或邮箱报告，同时测试中进行的敏感操作，例如删除，修改等操作，请在报告中说明。

1、安全无关的产品BUG，包括但不限于产品体验或设计不好、非安全漏洞导致的服务无法访问等。  

2、无法利用或无危害的“漏洞”，包括但不限于恶作剧CSRF（对用户无实际影响、无法影响他人的本地拒绝服务、CORS、非敏感信息泄露、内网IP、域名、反射型XSS、邮件轰炸等）。  3、不能重现的漏洞。包括但不仅限于经富友安全应急响应中心专员确认无法重现的漏洞。  

4、纯属用户猜测的问题。  

5、已有其他白帽子提交过的漏洞，或者内部已知的漏洞。

火线平台漏洞报告评判标准：    

为了加快漏洞审核效率、提升漏洞报告的整体质量，我们将对报告中是否达到漏洞描述详细、报告内容完整、思路清晰作为漏洞奖励评判标准。优质的漏洞报告应包含但不限于以下标准： 

1. 报告标题：漏洞标题应准确描述漏洞问题，不夸张、不虚报、不带有玩笑性质；

2. 报告内容：报告内容图文结合、排版清晰、结构完整、条理通顺，清晰地描述漏洞的功能、接口和参数，以及复现该漏洞所需的步骤、脚本poc、保护解析代码，重现该问题的技术相关信息、漏洞潜在的危害等内容;

3. 报告评级：能够对漏洞做出客观的、准确的风险等级自评;

4. 修复建议：能够针对漏洞给出一定有建设性意义的修复建议。 

 其他问题请参考https://www.huoxian.cn/project/detail?pid=104

（漏洞最终解释权为富友安全应急响应中心所有）

扫描上方二维码

了解更多