通用漏洞提交样例
白帽子提交的漏洞需要包含以下内容:
漏洞详情说明,描述漏洞的具体位置和漏洞证明。
漏洞的修复建议,例如越权漏洞。
请您认真思考并编写修复方案,先知平台运营人员将对修复方案进行评估,并酌情给予奖励。奖励标准请参见附件三漏洞奖励发放规则(先知)。
通过先知平台发现的漏洞会被公开吗?
先知(安全众测)平台会对所有入驻企业的漏洞进行严格保密,包括漏洞的标题、简述及详情,更不会使用或暗指企业的漏洞来做宣传(企业已授权的情况除外)。
白帽子测试过程中对业务造成影响会如何处理?
先知(安全众测)平台的白帽子都需要经过实名认证,以保证平台白帽子的真实可信。绝大多数白帽子都会以友好的方式帮助发现潜在的安全隐患并协助企业修复。若白帽子在测试过程中,恶意攻击企业系统,并造成了严重的后果,先知平台运营人员将配合企业一起共同处理。
在入驻先知(安全众测)平台时,企业也应当适当提高自身的安全防护强度,定时备份重要数据,以防意外。
为什么先知平台需要在阿里云注册的企业账号并且需要通过实名认证?
企业账号实名认证是先知平台用来检验入驻人员是否为真正企业身份的重要方式,以避免他人恶意冒名注册以收集企业的漏洞。
已经购买众多安全产品,为什么还需要加入先知平台?
安全产品主要是用于自动化检测安全问题,但并不足够智能。通用化的检测技术暂时还无法实现紧贴业务的安全检测,特别是一些权限或业务逻辑的安全问题,自动化的安全工具很难发现,只能依靠人工检测。
白帽子利用攻击者的思维,可以更全面地发现潜在的安全问题。
如何获得阿里安全团队的技术支持?
在白帽子提交漏洞以及先知平台运营人员审核漏洞时,阿里集团安全团队会为企业提供大致的漏洞修复方法。由于无法知晓企业业务的具体代码和逻辑,安全团队也仅能提供常规的修复意见,无法深入解决。
如果您对安全有更高的需求,可以联系先知平台运营人员,以获取其他安全服务。同时,先知(安全众测)平台正在积极联系推进第三方安全服务企业入驻先知平台提供漏洞修复服务,以实现良好的安全生态环境。
阿里安全团队的技术支持响应时间标准细则有哪些?
众测漏洞提交后24小时内审核,跟进的渗透项目交付时间前漏洞处理完成,过程记录对白帽子开放透明可见。
遇到争议用户反馈后,3小时内响应。
客户购买服务提出项目申请后,24小时内完成项目沟通。
漏洞奖金最快24小时内发放。特殊情况不超过1月。
先知(安全众测)的服务交付内容是什么?
每个漏洞的单独报告,包括漏洞标题、漏洞类型、漏洞等级、漏洞详情、修复建议。
完整的安全众测报告。
漏洞复测结果。