为了更好地保障云上用户的安全,提升安全防御能力,阿里云盾(先知)专门制定了《通用软件漏洞情报奖励计划》,以提供奖励的方式鼓励白帽子遵循负责任的漏洞披露机制,向我们提供通用软件的安全漏洞情报信息。
云盾先知确认漏洞后,将按照流程向您提供现金奖励和荣誉奖励,同时将漏洞向通用软件官方提交,并向受到影响的合作伙伴共享漏洞情报信息。如果您发现第三方通用软件的漏洞,欢迎您向我们提交,我们会第一时间响应处理。
攻击者通过操纵某些数据,使得程序偏离设计者的逻辑,进而引发的安全问题。先知计划漏洞平台主要收集应用软件和建站系统程序漏洞。
白帽子自定义漏洞名称,尽量包含漏洞关键字等信息。
如:PHPTEST v1.0.0前台无限制Getshell。
我们关注的漏洞类型,包括: XSS跨站、SQL注入、XXE、命令执行、文件包含、任意文件操作、权限绕过、存在后门、文件上传、逻辑漏洞、栈溢出、堆溢出、内存破坏、整数溢出、释放后重用、类型混淆、沙盒绕过、本地提权、拒绝服务、CRLF注入、SSRF、点击劫持、时间竞争漏洞、敏感信息泄露等。
Outlook_mail,Anymacro_mail,Hanweb,WordPress,Weblogic,Jeecms,ThinkPHP,EasySite,Sangfor_Application,Springboot,Eyou_mail,Sangfor_firewall,CitrixNetScaler,DotNetNuke_cms,Array_vpn,蓝凌OA,Secworld_vpn,Jboss
如上相关的通用全部提升到A类,只收取RCE /SQL等前台漏洞,奖励丰厚!
我们关注当前应用广泛的互联网应用软件类及第三方建站系统程序,具体如下:
说明 如无特殊标注,漏洞收集的范围是上表中应用程序的最新版本。最新版本信息,可在应用程序的官网查看。
为解决漏洞评级混乱问题,美国基础设施顾问委员会(NIAC)提出了CVSS公开标准,由FIRST组织进行维护,它被用来评价漏洞的严重与紧急程度。
基础分类型 | 基础分值名 | 基础分值数 |
---|---|---|
攻击方式(AV) | 远程网络(N) 相邻网络(A) 本地攻击(L) 物理方式(P) |
0.85 0.62 0.55 0.2 |
攻击复杂度(AC) | 低(L) 高(H) |
0.77 0.44 |
权限要求(PR) | 无(N) 低(L) 高(H) |
0.85 0.62(如果影响范围有变化为0.68) 0.27(如果影响范围有变化为0.50) |
用户交互(UI) | 不需要(N) 需要(P) |
0.85 0.62 |
C(机密性) I(完整性) A(可用性) |
高(H) 低(L) 无(N) |
0.56 0.220 0.0 |
影响范围(S) | 未改变(U) 改变(C) |
互联网中受影响实例的个数 |
说明 影响范围权重最高,能够客观检验一个漏洞在互联网上的影响程度。
得分算法
根据以上得分,漏洞得分划分为:
对应的奖励范围
厂商类型 | 严重漏洞奖励范围 | 高危漏洞奖励范围 | 中危漏洞奖励范围 | 低危漏洞奖励范围 |
---|---|---|---|---|
A类厂商 | 奖金:50000~500000元 积分:150 |
奖金:20000~50000元 积分:120 |
奖金:4000~15000元 积分:60 |
奖金:500~1000元 积分:30 |
B类厂商 | 奖金:20000~50000元 积分:120 |
奖金:6000~15000元 积分:100 |
奖金:1500~3000元 积分:50 |
奖金:300~500元 积分:20 |
C类厂商 | 奖金:10000~15000元 积分:120 |
奖金:3000~6000元 积分:60 |
奖金:800~1500元 积分:30 |
奖金:200~300元 积分:15 |
D类厂商 | 奖金:2000~3000元 积分:120 |
奖金:1000~2000元 积分:40 |
奖金:500~800元 积分:20 |
奖金:100~200元 积分:10 |
F类厂商 | 奖金:1000~2000元 积分:120 |
奖金:600~1000元 积分:40 |
奖金:400~600元 积分:20 |
奖金:50~150元 积分:10 |
暂不在漏洞收集范畴的类型
漏洞降级
厂商降级
当针对某个厂商收取的高危漏洞数大于30个(未修复状态池),且厂商官方再无能力修复漏洞时,将对厂商进行降级或下线处理,同时暂停收取漏洞。
为了能够对每个漏洞进行客观评估,兼顾厂商对漏洞的实际影响判断,建议白帽子依据CVSS 3.0标准,补充如下关键信息,从而避免审核过程中造成的偏颇。
在文档使用中是否遇到以下问题
更多建议
匿名提交