通用软件漏洞情报收集及奖励标准
为了更好地保障云上用户的安全,提升安全防御能力,阿里云盾(先知)专门制定了《通用软件漏洞情报奖励计划》,以提供奖励的方式鼓励白帽子遵循负责任的漏洞披露机制,向我们提供通用软件的安全漏洞情报信息。
云盾先知确认漏洞后,将按照流程向您提供现金奖励和荣誉奖励,同时将漏洞向通用软件官方提交,并向受到影响的合作伙伴共享漏洞情报信息。如果您发现第三方通用软件的漏洞,欢迎您向我们提交,我们会第一时间响应处理。
漏洞定义
漏洞:攻击者通过操纵某些数据,使得程序偏离设计者的逻辑,进而引发的安全问题。先知计划漏洞平台主要收集应用软件和建站系统程序漏洞。
漏洞名称
白帽子自定义漏洞名称,尽量包含漏洞关键字等信息。
如:PHPTEST v1.0.0前台无限制Getshell。
收集的漏洞类型
我们关注的漏洞类型,包括:
XSS跨站;SQL注入;XXE;命令执行;文件包含;任意文件操作;权限绕过;存在后门;文件上传;逻辑漏洞;栈溢出;堆溢出;内存破坏;整数溢出;释放后重用;类型混淆;沙盒绕过;本地提权;拒绝服务;CRLF注入;SSRF;点击劫持;时间竞争漏洞;敏感信息泄露等。
漏洞收集范围
我们关注当前应用广泛的互联网应用软件类及第三方建站系统程序,具体如下:(注:如无特殊标注,则收取的应用程序版本为当前最新版,下表中的版本信息可能来不及更新)
厂商列表
评分规则
为解决漏洞评级混乱问题,美国基础设施顾问委员会(NIAC)提出了CVSS公开标准,由FIRST组织进行维护,它被用来评价漏洞的严重与紧急程度。
基础分值
| 基础分类型 | 基础分值名 | 基础分值数 |
|---|---|---|
| 攻击方式(AV) | 远程网络(N) 相邻网络(A) 本地攻击(L) 物理方式(P) |
0.85 0.62 0.55 0.2 |
| 攻击复杂度(AC) | 低(L) 高(H) |
0.77 0.44 |
| 权限要求(PR) | 无(N) 低(L) 高(H) |
0.85 0.62(0.68 if影响范围有变化) 0.27(0.50 if影响范围有变化) |
| 用户交互(UI) | 不需要(N) 需要(P) |
0.85 0.62 |
| C(机密性),I(完整性),A(可用性) | 高(H) 低(L) 无(N) |
0.56 0.22 0 |
| 影响范围(S) | 未改变(U) 改变(C) |
互联网受影响实例的个数 |
提示:影响范围权重最高,能够客观检验一个漏洞在互联网上的影响程度。
得分算法:
根据以上得分,漏洞得分划分为:
无效(0.0) 低危(0.1~3.9) 中危(4.0~6.9) 高危(7.0~9.5) 严重(9.6~10.0)
对应的奖励范围:
| 厂商类型 | 严重漏洞 | 高危漏洞 | 中危漏洞 | 低危漏洞 |
|---|---|---|---|---|
| A类厂商 | 奖金: 50000~500000元 积分: 150 |
奖金: 20000~50000元 积分: 120 |
奖金: 4000~15000元 积分: 60 |
奖金: 500~1000元 积分: 30 |
| B类厂商 | 奖金: 20000~50000元 积分: 120 |
奖金: 6000~15000元 积分: 100 |
奖金: 1500~3000元 积分: 50 |
奖金: 300~500元 积分: 20 |
| C类厂商 | 奖金: 10000~15000元 积分: 120 |
奖金: 3000~6000元 积分: 60 |
奖金: 800~1500元 积分: 30 |
奖金: 200~300元 积分: 15 |
| D类厂商 | 奖金: 2000~3000元 积分: 120 |
奖金: 1000~2000元 积分: 40 |
奖金: 500~800元 积分: 20 |
奖金: 100-200元 积分: 10 |
| F类厂商 | 奖金: 1000~2000元 积分: 120 |
奖金: 600~1000元 积分: 40 |
奖金: 400~600元 积分: 20 |
奖金: 50-150元 积分: 10 |
暂不在漏洞收集范畴的类型
- A、B类厂商以外的XSS漏洞一概不在收取范围;
- A、B类厂商不收取反射XSS漏洞,SELF-XSS漏洞;
- 事件型漏洞(如xx厂商的某cms,存在官方接口安全问题,接口在官方服务器上);
- 其他影响十分有限的漏洞。
漏洞降级
- 漏洞利用过程中需要涉及非普通用户权限,或在满足一定条件下才能触发的漏洞,将会酌情降级或降低奖励。
- 后台漏洞目前只收取getshell(OA类、协作类产品的普通用户控制台算作后台),漏洞会降级低危处理。
厂商降级
- 当针对某个厂商收取的高危漏洞数大于30个(未修复状态池),且厂商官方再无能力修复漏洞时,将对厂商进行降级或下线处理,同时暂停收取漏洞。
付款条件和限制
- 奖励标准仅适用于列表中的厂商,列表外的厂商,我们将根据厂商应用流行程度和漏洞影响范围,酌情给予奖励;
- 同一漏洞多位白帽子在先知平台提交,以时间先后顺序只奖励首位提交者;
- 官方无开源代码并且无测试Demo的漏洞,需要提供至少5个互联网以实例证明危害;
- 同一个漏洞源产生的多个漏洞计漏洞数量为一。例如:同一功能模块下的不同接口,同一文件的不同参数、同一参数出现在不同文件、同一文件在不同目录、同一漏洞的不同利用方式、不同版本的同一漏洞、同一函数导致漏洞等;
- 可以通过修复一个点使得后续利用均不可行的情况,后续漏洞提交均视为重复漏洞。(如多个接口程序中都用到了同一个全局函数进行数据处理,这个全局数据处理函数被利用导致了漏洞形成,则所有此类漏洞均视为同一漏洞。)
- 在先知平台通知第三方厂商修复漏洞之前,漏洞在互联网上被公开不给予奖励;
- 报告网上已公开的漏洞不给予奖励;
- 同一漏洞重复提交至其他漏洞平台,先知平台有权不给予奖励。
- 在漏洞处理的任何阶段发现漏洞重复或被公开,先知平台都有权驳回漏洞并取消奖励;对于恶意提交重复漏洞骗取奖励的行为,会给予警告乃至封号处理。
漏洞提交报告要求
为了能够对每个漏洞进行客观评估,兼顾厂商对漏洞的实际影响判断,建议白帽子依据CVSS 3.0标准,补充如下关键信息,从而避免审核过程中造成的偏颇。
利用方式:远程/本地/物理用户交互:不需要登录/需登录/需登录(开放注册)权限要求:普通用户/功能管理员/系统管理员利用接口:http://victim.com/show.php?id=100&cat=news漏洞利用点参数:id漏洞证明:SQL注入漏洞请补充注入利用证明,跑出数据库的 user() 或 version() 或 database(),建议提供截图;命令执行漏洞请补充命令执行利用证明,运行命令:whoami 输出的结果,建议提供截图;
注意事项
- 恶意报告者将作封号处理;
- 报告无关问题的将不予答复;
- 阿里巴巴集团员工不得参与或通过朋友参与漏洞奖励计划;
- 奖励计划仅适用于通过先知平台报告漏洞的用户;
- 漏洞奖励计划最终解释权归先知平台所有。
-
先知(安全众测)
先知计划是一个帮助企业建立私有应急响应中心的平台(帮助企业收集漏洞信息)。企业加入先知计划后,可自主发布奖励计划,激励先知平台的安全专家来测试和提交企业自身网站或业务系统的漏洞,保证安全风险可以快速进行响应和修复,防止造成更大的安全损失。旨在为企业建立高效完善的安全应急响应中心(Security Response Center)。企业通过入驻先知计划漏洞平台,可以通过先知平台众多优质、可信的白帽子及时发现现有业务的安全问题,包括业务逻辑漏洞、权限问题等安全工具无法有效检测的漏洞等,尽早的发现存在的漏洞可以有效的减少公司可能的损失。并且,随着业务的不断发展,也会通过白帽子的持续安全检测来及时发现新业务的安全问题。先知平台会为所有入驻企业的漏洞严格保密,从而避免漏洞被恶意宣传。
-
安全管家
阿里云安全管家服务是阿里云安全专家基于阿里云多年安全最佳实践经验为云上用户提供的全方位安全技术和咨询服务,为云上用户建立和持续优化云安全防御体系,保障用户业务安全。
-
态势感知
态势感知提供的是一项SAAS服务,即在大规模云计算环境中,对那些能够引发网络安全态势发生变化的要素进行全面、快速和准确地捕获和分析。然后,把客户当前遇到的安全威胁与过去的威胁进行关联回溯和大数据分析,最终产出未来可能产生的安全事件的威胁风险,并提供一个体系化的安全解决方案。
在文档使用中是否遇到以下问题
更多建议
匿名提交