一部《我的阿勒泰》
想去新疆的欲望达到了顶峰

远处是洁白的雪山
近处是翠绿的树林
端午将至，挖蛙现在就想要放假！

打开“去哪儿”软件，订票便宜又方便

小骆驼除了带来旅游折扣还有个大事宣布——

去哪儿安全应急响应中心

正式上线漏洞盒子啦

QSRC欢迎广大用户反馈安全漏洞

以帮助去哪儿提升产品和业务的安全性

让我们一起向快乐和稳定出发吧！

关于去哪儿

去哪儿（https://www.qunar.com）是中国领先的一站式旅行平台，自2005年成立至今，去哪儿坚持以低价为核心竞争力，帮助更多用户解锁“人生第一张机票”。去哪儿与全球超过100家航空公司、9000家旅行代理商达成了深度合作，为用户提供更低的价格、更全的覆盖以及更好的服务。截至目前，可实时搜索预定全球范围内超68万条航线机票、320万家境内外酒店、100多个国家及地区的签证服务、100万条度假线路、近2万个全球目的地景区门票等，支持火车票7*24小时无间断出票，并提供租车、接送机等地面交通服务。

去哪儿安全应急响应中心（Qunar Security Response Center）非常欢迎广大用户和白帽子向我们提交去哪儿产品和业务的安全漏洞，以帮助我们提升产品和业务的安全性。我们将会有专门的人员跟进处理，并将结果及时反馈给您。

漏 洞 提 交 地 址

https://qunarsrc.vulbox.com/home

（复制到浏览器打开或点击文末“阅读原文”）

漏 洞 奖 励 范 围

严重：¥500-8,000

高危：¥300-5,000

中危：¥100-1,000

低危：¥50-400

漏 洞 接 收 范 围

资产范围

QSRC资产如下：

qunar.com

qunar-tehui.com

qunarcdn.com

opsai.cn

bidutrip.com

qunarzz.com

qunar-bnb.com

quner.com 9

qua.com

zcfgoagain.com

漏 洞 注 意 事 项

1

9:00~20:00，周六日和法定节假日前两周内为业务高峰期。不要高线程高频率的自动化扫描，尤其是周六日和相关法定节假日前两周。 

2

*.jingqu.cn下的所有相关业务都不做收取 

3

项目不再接收客户端拒绝服务漏洞、DOM XSS、反射型XSS 

4

越权或者其他后台相关漏洞，请白帽子提供测试账号，因测试账号导致的无法复现的漏洞可能会被忽略

5

POC需要写明确字符串不要是图片截图，如果平台编辑器转义了相关代码，可通过附件提交相关代码

6

填写URL时，需要填写完整URL地址，例如https://www.qunar.com/xxxx?xxx=xxx

严正 声 明 

1. 在漏洞未修复前，我们希望您不要公开和传播。我们承诺：对每一份报告，都会有专门的安全人员进行评审、跟进并及时反馈最新的处理结果，并且我们会按照“漏洞奖励方案”对您的付出表示感谢。

2. 我们鼓励采用合法合规的方式测试漏洞。对于利用漏洞损害用户利益、影响业务运营、盗取用户数据、恶意传播漏洞或数据等涉嫌违反法律、行政法规规定或违反去哪儿安全应急响应中心管理规定、网站协议等的违法行为，去哪儿安全应急响应中心均将保留追究法律责任的权利。

3. 去哪儿安全应急响应中心委托漏洞盒子平台开展漏洞奖励计划，去哪儿安全应急响应中心不会接触、获取研究者个人信息。去哪儿安全应急响应中心会在通过邮件与报告者确认漏洞有效性，级别和奖金数额后，由漏洞盒子负责后续奖金支付流程。

如有任何问题

请联系小莎莎QQ：3459476393

本文为 独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022