通用软件漏洞情报收集及奖励标准
为了更好地保障云上用户的安全,提升安全防御能力,阿里云盾(先知)专门制定了《供应链软件漏洞情报奖励计划》,以提供奖励的方式鼓励白帽子遵循负责任的漏洞披露机制,向我们提供供应链软件的安全漏洞情报信息。
云盾先知确认漏洞后,将按照流程向您提供现金奖励和荣誉奖励,同时在遵守国内相关法律的情况下将漏洞反馈给软件开发者公司,并向受到影响的合作伙伴共享漏洞情报信息。如果您发现供应链软件的漏洞,欢迎您向我们提交,我们会第一时间响应处理。
漏洞定义
攻击者通过操纵某些数据,使得程序偏离设计者的逻辑,进而引发的安全问题。先知计划漏洞平台主要收集应用软件和建站系统程序漏洞。
漏洞名称
白帽子自定义漏洞名称,尽量包含漏洞关键字等信息。
如:PHPTEST v1.0.0前台无限制Getshell。
收集的漏洞类型
我们关注的漏洞类型,包括: XSS跨站、SQL注入、XXE、命令执行、文件包含、任意文件操作、权限绕过、存在后门、文件上传、逻辑漏洞、栈溢出、堆溢出、内存破坏、整数溢出、释放后重用、类型混淆、沙盒绕过、本地提权、拒绝服务、CRLF注入、SSRF、点击劫持、时间竞争漏洞、敏感信息泄露等。
漏洞收集范围
我们关注当前应用广泛的互联网应用软件类及第三方建站系统程序,具体如下:
厂商类型 | 应用名 | 官网地址 |
|---|---|---|
A类厂商 | phpMyAdmin | https://www.phpmyadmin.net/ |
A类厂商 | DedeCMS | http://www.dedecms.com |
A类厂商 | Discuz! | http://www.discuz.net |
A类厂商 | ECShop | http://yunqi.shopex.cn/products/ecshop |
A类厂商 | CKEditor(FCKEditor) | https://ckeditor.com/ |
A类厂商 | Wordpress | https://zh-cn.wordpress.com/ |
A类厂商 | Django | https://www.djangoproject.com/ |
A类厂商 | WebX | http://www.openwebx.org/ |
A类厂商 | Fastjson | https://github.com/alibaba/fastjson |
A类厂商 | Struts2 | https://struts.apache.org/ |
A类厂商 | Spring Framework | https://projects.spring.io/spring-framework/ |
A类厂商 | Spring Boot | https://projects.spring.io/spring-boot/ |
B类厂商 | ThinkPHP | http://www.thinkphp.cn/ |
B类厂商 | phpCMS | http://www.phpcms.cn/ |
B类厂商 | PHPWind | https://www.phpwind.com/ |
B类厂商 | Flask | https://github.com/pallets/flask |
B类厂商 | Drupal | https://www.drupal.org/ |
B类厂商 | Joomla | https://www.joomla.org/ |
B类厂商 | Yii | https://www.yiiframework.com/ |
B类厂商 | CodeIgniter | https://codeigniter.com/ |
B类厂商 | ZenTaoPMS(禅道项目管理) | http://www.zentao.net/ |
B类厂商 | Empire CMS(帝国CMS) | http://www.phome.net/ |
B类厂商 | Tornado | http://www.tornadoweb.org/ |
B类厂商 | GitLab | https://gitlab.com |
B类厂商 | Jenkins | https://jenkins.io/ |
B类厂商 | Redmine | https://www.redmine.org/ |
B类厂商 | ElasticSearch | https://www.elastic.co/cn/ |
B类厂商 | Openfire | https://www.igniterealtime.org/projects/openfire/ |
B类厂商 | Atlassian Jira | https://www.atlassian.com/software/jira |
B类厂商 | Solr | http://lucene.apache.org/solr/ |
B类厂商 | Zabbix | https://www.zabbix.com/ |
B类厂商 | WildFly | http://wildfly.org/ |
B类厂商 | Magento | https://magento.com/ |
B类厂商 | Atlassian Confluence | https://www.atlassian.com/software/confluence |
B类厂商 | Kibana | https://www.elastic.co/products/kibana |
B类厂商 | DokuWiki | https://www.dokuwiki.org/dokuwiki |
B类厂商 | MediaWiki | https://www.mediawiki.org/ |
B类厂商 | cPanel | https://cpanel.com/ |
B类厂商 | httpFileServer(HFS) | http://www.rejetto.com/hfs/ |
B类厂商 | CoreMail | http://www.coremail.cn/ |
B类厂商 | Apache Hadoop | http://hadoop.apache.org/ |
C类厂商 | Laravel | https://laravel.com/ |
C类厂商 | XAMPP | https://www.apachefriends.org/zh_cn/index.html |
C类厂商 | ownCloud | https://owncloud.org/ |
C类厂商 | ShopEx | http://www.shopex.cn/ |
C类厂商 | OpenCart | https://github.com/opencart/opencart |
C类厂商 | ThinkSNS | http://thinksns.com/ |
C类厂商 | Typecho | http://typecho.org/ |
C类厂商 | 拓尔思(TRS WCM) | http://www.trs.com.cn/ |
C类厂商 | 万户ezOFFICE | http://www.whir.net/cn/cpzx/index_2.html |
C类厂商 | 深信服-VPN | http://www.sangfor.com.cn/product/net-safe-ssl.html |
C类厂商 | 金蝶OA | http://www.kingdee.com/solutions/field/oa |
C类厂商 | 致远OA | http://www.seeyon.com/ |
C类厂商 | 泛微OA Office | http://www.weaver.com.cn/ |
C类厂商 | Sentry | https://sentry.io/ |
C类厂商 | phpBB | https://www.phpbb.com/ |
C类厂商 | CMSTOP | http://www.cmstop.com/ |
C类厂商 | Piwik | https://matomo.org |
C类厂商 | F5-BIGipServer | https://f5.com/products/big-ip |
C类厂商 | RoundCube | https://roundcube.net/ |
C类厂商 | Cacti | https://www.cacti.net/ |
C类厂商 | WDCP 主机管理系统 | http://www.wdlinux.cn/ |
C类厂商 | Hudson | http://jenkins-ci.org/ |
C类厂商 | TurboMail | http://www.turbomail.org/ |
C类厂商 | 亿邮 | http://www.eyou.net/ |
C类厂商 | Zimbra | https://www.zimbra.com/ |
C类厂商 | live800 | https://www.live800.com/ |
C类厂商 | HDwiki | http://kaiyuan.hudong.com/ |
C类厂商 | Webmin | http://www.webmin.com/ |
C类厂商 | vBulletin | https://www.vbulletin.com/ |
C类厂商 | MyBB | https://github.com/mybb |
C类厂商 | SquirrelMail | https://squirrelmail.org/ |
C类厂商 | AMH 云主机面板 | http://amh.sh/ |
C类厂商 | ActiveMQ | http://activemq.apache.org/ |
D类厂商 | 74cms | http://www.74cms.com/ |
D类厂商 | 齐博CMS | http://www.qibosoft.com/ |
D类厂商 | HiShop | http://www.hishop.com.cn/ |
D类厂商 | SiteServer CMS | http://www.siteserver.cn/ |
D类厂商 | Odoo | https://www.odoo.com/zh_CN/ |
D类厂商 | PHP168 | http://www.php168.net/ |
D类厂商 | B2Bbuilder | http://www.b2b-builder.com/ |
D类厂商 | Gogs | https://gogs.io/ |
F类厂商 | 通达OA | https://www.tongda2000.com/ |
F类厂商 | PbootCMS | http://www.asp4cms.com/ |
F类厂商 | Destoon | https://www.destoon.com/ |
F类厂商 | MetInfo | https://www.metinfo.cn/ |
F类厂商 | Z-Blog | https://www.zblogcn.com/ |
F类厂商 | KesionCMS | http://www.kesion.com/aspb/ |
F类厂商 | 微擎 | https://www.we7.cc/ |
F类厂商 | emlog | http://www.emlog.net/ |
F类厂商 | 主机宝 | http://z.admin5.com |
如无特殊标注,漏洞收集的范围是上表中应用程序的最新版本。最新版本信息,可在应用程序的官网查看。
评分规则
为解决漏洞评级混乱问题,美国基础设施顾问委员会(NIAC)提出了CVSS公开标准,由FIRST组织进行维护,它被用来评价漏洞的严重与紧急程度。
基础分类型 | 基础分值名 | 基础分值数 |
|---|---|---|
攻击方式(AV) |
|
|
攻击复杂度(AC) |
|
|
权限要求(PR) |
|
|
用户交互(UI) |
|
|
|
|
|
影响范围(S) |
| 互联网中受影响实例的个数。 |
影响范围权重最高,能够客观检验一个漏洞在互联网上的影响程度。
得分算法
根据以上得分,漏洞得分划分为:
严重(9.6~10.0)
高危(7.0~9.5)
中危(4.0~6.9)
低危(0.1~3.9)
无效(0.0)
对应的奖励范围
厂商类型 | 严重漏洞奖励范围 | 高危漏洞奖励范围 | 中危漏洞奖励范围 | 低危漏洞奖励范围 |
|---|---|---|---|---|
A类厂商 | 奖金:50000~500000元 积分:150 | 奖金:20000~50000元 积分:120 | 奖金:4000~15000元 积分:60 | 奖金:500~1000元 积分:30 |
B类厂商 | 奖金:20000~50000元 积分:120 | 奖金:6000~15000元 积分:100 | 奖金:1500~3000元 积分:50 | 奖金:300~500元 积分:20 |
C类厂商 | 奖金:10000~15000元 积分:120 | 奖金:3000~6000元 积分:60 | 奖金:800~1500元 积分:30 | 奖金:200~300元 积分:15 |
D类厂商 | 奖金:2000~3000元 积分:120 | 奖金:1000~2000元 积分:40 | 奖金:500~800元 积分:20 | 奖金:100~200元 积分:10 |
F类厂商 | 奖金:1000~2000元 积分:120 | 奖金:600~1000元 积分:40 | 奖金:400~600元 积分:20 | 奖金:50~150元 积分:10 |
暂不在漏洞收集范畴的类型
A、B类厂商以外的XSS漏洞一概不在收取范围。
A、B类厂商不收取反射XSS漏洞,SELF-XSS漏洞。
事件型漏洞(如xx厂商的某cms,存在官方接口安全问题,接口在官方服务器上)。
其他影响十分有限的漏洞。
漏洞降级
漏洞利用过程中需要涉及非普通用户权限,或在满足一定条件下才能触发的漏洞,将会酌情降级或降低奖励。
后台漏洞目前只收取getshell(OA类、协作类产品的普通用户控制台算作后台),漏洞会降级低危处理。
厂商降级
当针对某个厂商收取的高危漏洞数大于30个(未修复状态池),且厂商官方再无能力修复漏洞时,将对厂商进行降级或下线处理,同时暂停收取漏洞。
付款条件和限制
奖励标准仅适用于列表中的厂商,列表外的厂商,我们将根据厂商应用流行程度和漏洞影响范围,酌情给予奖励;
同一漏洞多位白帽子在先知平台提交,以时间先后顺序只奖励首位提交者;
官方无开源代码并且无测试Demo的漏洞,需要提供至少5个互联网以实例证明危害;
同一个漏洞源产生的多个漏洞计漏洞数量为一。例如:同一功能模块下的不同接口,同一文件的不同参数、同一参数出现在不同文件、同一文件在不同目录、同一漏洞的不同利用方式、不同版本的同一漏洞、同一函数导致漏洞等;
可以通过修复一个点使得后续利用均不可行的情况,后续漏洞提交均视为重复漏洞。
说明如多个接口程序中都用到了同一个全局函数进行数据处理,这个全局数据处理函数被利用导致了漏洞形成,则所有此类漏洞均视为同一漏洞。
在先知平台通知第三方厂商修复漏洞之前,漏洞在互联网上被公开不给予奖励;
报告网上已公开的漏洞不给予奖励;
同一漏洞重复提交至其他第三方漏洞平台,先知平台有权不给予奖励;
在漏洞处理的任何阶段发现漏洞重复或被公开,先知平台都有权驳回漏洞并取消奖励;对于恶意提交重复漏洞骗取奖励的行为,会给予警告乃至封号处理。
漏洞提交报告要求
为了能够对每个漏洞进行客观评估,兼顾厂商对漏洞的实际影响判断,建议白帽子依据CVSS 3.0标准,补充如下关键信息,从而避免审核过程中造成的偏颇。
利用方式:远程/本地/物理
用户交互:不需要登录/需登录/需登录(开放注册)
权限要求:普通用户/功能管理员/系统管理员
利用接口:
http://example.com/XXXXXid=100&xxxxx漏洞利用点参数:利用接口URL中的id
漏洞证明:
SQL注入漏洞:请补充注入利用证明,包括数据库的
user()或version()或database()的输出结果,建议提供截图。命令执行漏洞:请补充命令执行利用证明,运行命令
whoami输出的结果,建议提供截图。
注意事项
恶意报告者将作封号处理。
报告无关问题的将不予答复。
阿里巴巴集团员工不得参与或通过朋友参与漏洞奖励计划。
奖励计划仅适用于通过先知平台报告漏洞的用户。