全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 钉钉智能硬件

通用漏洞验收及奖励标准

更新时间:2017-11-08 10:43:11

通用软件漏洞收集及奖励标准

云盾先知计划收录全球通用软件 0day 漏洞。如果您发现第三方通用软件的漏洞,欢迎您向我们提交,我们会第一时间响应处理。为了表达您对互联网安全生态圈建设作出的贡献,我们将向您提供现金奖励和荣誉奖励。

漏洞收集范围

我们关注当前应用广泛的互联网应用软件类及第三方建站系统程序,具体如下:(注:如无特殊标注,则收取的应用程序版本为当前最新版,下表中的版本信息可能来不及更新

厂商类型 应用名 版本信息 官网地址
流行厂商 DedeCMS V5.7 SP2 (2017-04-05) http://www.dedecms.com
流行厂商 Wordpress 4.8.2 https://wordpress.org
流行厂商 Discuz! X3.4 最新 git 版本 http://www.discuz.net
流行厂商 ECShop 目前仅收 2.7.3,3.x 版本漏洞暂不收取 http://yunqi.shopex.cn/products/ecshop
流行厂商 phpcms 9.6.3 http://www.phpcms.cn/v9/
一般厂商 Ⅰ empirecms 7.2 http://www.phome.net/ecms72/
一般厂商 Ⅰ aspcms 2.7.3 http://www.asp4cms.com
一般厂商 Ⅰ MetInfo 5.3.19 (2017-09-25) https://www.metinfo.cn
一般厂商 Ⅰ Z-Blog php 版 1.5.1 https://github.com/zblogcn/zblogphp
一般厂商 Ⅰ Destoon V6.0 http://www.destoon.com
一般厂商 Ⅱ KesionCMS X2.0 http://www.kesion.com/aspb/
一般厂商 Ⅱ 微擎 V1.0 http://www.we7.cc/download/WeEngine-Laster-Online.zip
一般厂商 Ⅱ thinkphp 3.2.3 完整版 或 5.0.11 完整版 http://www.thinkphp.cn/
一般厂商 Ⅱ phpwind V9.0.2 http://www.phpwind.net
一般厂商 Ⅱ Shopex v4.9 http://yunqi.shopex.cn/products/shopex485
一般厂商 Ⅱ 艺帆 cms 企业版 v1.8 http://www.i5808.com
一般厂商 Ⅱ Joomla v3.8.0 https://www.joomla.org
一般厂商 Ⅱ Drupal v8.3.7 https://www.drupal.org
一般厂商 Ⅲ emlog v5.3.1 http://www.emlog.net/
一般厂商 Ⅲ 齐博 CMS 整站系统 v7 http://www.qibosoft.com
一般厂商 Ⅲ ESPCMS V6.7.17.08.07 http://www.ecisp.cn
一般厂商 Ⅲ cmseasy V5.7_20170918 http://www.cmseasy.cn
一般厂商 Ⅲ 74cms v4.2.26 http://www.74cms.com
一般厂商 Ⅲ Finecms v5 git 最新版 https://gitee.com/dayrui/finecms/ http://www.finecms.net/
一般厂商 Ⅲ WDCP 主机管理系统 v3.2 http://www.wdlinux.cn/
一般厂商 Ⅲ Magento v2.1.0 https://magento.com
一般厂商 Ⅲ 主机宝 v2.0.9 http://z.admin5.com

其他系统

  1. 广泛使用的应用软件:IIS, Apache 等或影响较大的通用软件,视为流行厂商
  2. 常用 Web 框架和编辑器(我们会根据实际使用情况酌情分类,如果使用量较少则不会收取。)
  3. Wordpress 官方上架插件,100w 活跃安装的视为流行厂商,50w 活跃安装的视为 Ⅰ 类厂商,10w 活跃安装的视为 Ⅱ 类厂商,5w 活跃安装的视为 Ⅲ 类厂商

奖励标准

成功上报的漏洞,我们会给出相应的现金奖励及积分奖励,具体的奖励额度由漏洞对应用的危害程度以及厂商的流行程度决定,具体如下:

厂商类型 高危漏洞 中危漏洞 低危漏洞
流行厂商 奖金: 20000~500000 元
积分: 120
奖金: 4000~15000 元
积分: 60
奖金: 500~1000 元
积分: 30
一般厂商 Ⅰ 奖金: 6000~15000 元
积分: 100
奖金: 1500~3000 元
积分: 50
奖金: 300~500 元
积分: 20
一般厂商 Ⅱ 奖金: 3000~6000 元
积分: 60
奖金: 800~1500 元
积分: 30
奖金: 200~300 元
积分: 15
一般厂商 Ⅲ 奖金: 1500~3000 元
积分: 40
奖金: 500~800 元
积分: 20
奖金: 100-200 元
积分: 10

漏洞定义:

漏洞:攻击者通过操纵某些数据,使得程序偏离设计者的逻辑,进而引发的安全问题。先知计划漏洞平台主要收集应用软件和建站系统程序漏洞。

漏洞名称:

白帽子自定义漏洞名称,尽量包含漏洞关键字等信息。

如:PHPWind v9.0.1 前台无限制 Getshell。

漏洞类型:

我们关注的漏洞类型,包括:

XSS;SQL 注入;命令执行;文件包含;任意文件操作;权限绕过;存在后门;文件上传;逻辑漏洞,栈溢出,堆溢出,内存破坏,整数溢出,释放后重用,类型混淆,沙盒绕过,本地提权,双重释放。

漏洞等级定义

分为三个等级:高危、中危、低危。

高危漏洞

  • 直接获取系统权限的漏洞。包括但不限于远程命令执行、代码执行、上传 webshell、缓冲区溢出;
  • 严重的逻辑设计缺陷和流程缺陷。包括但不限于任意账号密码修改等;
  • 可直接获取系统核心数据的漏洞,包括但不限于 SQL 注入漏洞;
  • 严重的权限绕过类漏洞。包括但不限于绕过认证直接访问管理后台、cookie 欺骗。

中危漏洞

  • 需要在一定条件限制下,能获取服务器权限、网站权限与核心数据库数据的操作。包括但不限于交互性代码执行、一定条件下的注入、特定系统版本下的 getshell 等;
  • 无限制任意文件操作漏洞。包括但不限于任意文件写、删除、下载,敏感文件读取等操作;
  • 普通越权访问。包括但不限于绕过限制修改用户资料、执行用户操作。
  • 流行厂商的存储型 XSS,根据交互难度和所需权限进行综合评级。
  • SSRF 漏洞

低危漏洞

  • 除流行厂商外,所有收取范围的后台漏洞均置为 “低危”;
  • 除流行厂商外的 XSS 漏洞;
  • 官方初始测试数据导致的安全问题;
  • 在条件严苛的环境下能够获取核心数据或者控制核心业务的操作;
  • 能够获取一些数据,但不属于核心数据的操作。

暂不在漏洞收集范畴的类型

  • phpcms 的后台 getshell;
  • 事件型漏洞(如 xx 厂商的某 cms,存在官方接口安全问题,接口在官方服务器上);
  • 其他影响十分有限的漏洞。

漏洞降级

  • 漏洞利用过程中需要涉及非普通用户权限,或在满足一定条件下才能触发的漏洞,将会酌情降级或降低奖励。

付款条件和限制

  1. 奖励标准仅适用于列表中的厂商,列表外的厂商,我们将根据厂商应用流行程度和漏洞影响范围,酌情给予奖励;
  2. 同一漏洞多位白帽子在先知平台提交,以时间先后顺序只奖励首位提交者;
  3. 官方无开源代码并且无测试 Demo 的漏洞,需要提供至少 5 个互联网以实例证明危害;
  4. 同一个漏洞源产生的多个漏洞计漏洞数量为一。例如:同一文件的不同参数、同一参数出现在不同文件、同一文件在不同目录、同一漏洞的不同利用方式、不同版本的同一漏洞、同一函数导致漏洞等;
  5. 可以通过修复一个点使得后续利用均不可行的情况,后续漏洞提交均视为重复漏洞。(如多个接口程序中都用到了同一个全局函数进行数据处理,这个全局数据处理函数被利用导致了漏洞形成,则所有此类漏洞均视为同一漏洞。)
  6. 在先知平台通知第三方厂商修复漏洞之前,漏洞在互联网上被公开不给予奖励;
  7. 报告网上已公开的漏洞不给予奖励;
  8. 同一漏洞重复提交至其他漏洞平台,先知平台有权不给予奖励。
  9. 在漏洞处理的任何阶段发现漏洞重复或被公开,先知平台都有权驳回漏洞并取消奖励;对于恶意提交重复漏洞骗取奖励的行为,会给予警告乃至封号处理。

注意事项:

  1. 恶意报告者将作封号处理;
  2. 报告无关问题的将不予答复;
  3. 阿里巴巴集团员工不得参与或通过朋友参与漏洞奖励计划;
  4. 奖励计划仅适用于通过先知平台报告漏洞的用户;
  5. 漏洞奖励计划最终解释权归先知平台所有。
本文导读目录