全部产品
弹性计算 会员服务 网络 安全 移动云 数加·大数据分析及展现 数加·大数据应用 管理与监控 云通信 阿里云办公 培训与认证 智能硬件
存储与CDN 数据库 域名与网站(万网) 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 更多

通用漏洞验收及奖励标准

更新时间:2018-05-03 16:59:57

通用软件漏洞收集及奖励标准

为了更好地保障云上用户的安全,提升安全防御能力,阿里云盾(先知)专门制定了《通用软件漏洞奖励计划》,以提供奖励的方式鼓励白帽子遵循负责任的漏洞披露机制,向我们提供通用软件的安全漏洞信息。

云盾先知确认漏洞后,将按照流程向您提供现金奖励和荣誉奖励,同时将漏洞向通用软件官方提交,并向受到影响的合作伙伴共享漏洞信息。如果您发现第三方通用软件的漏洞,欢迎您向我们提交,我们会第一时间响应处理。

漏洞定义

漏洞:攻击者通过操纵某些数据,使得程序偏离设计者的逻辑,进而引发的安全问题。先知计划漏洞平台主要收集应用软件和建站系统程序漏洞。

漏洞名称

白帽子自定义漏洞名称,尽量包含漏洞关键字等信息。

如:PHPTEST v1.0.0前台无限制Getshell。

收集的漏洞类型

我们关注的漏洞类型,包括:
XSS跨站;SQL注入;XXE;命令执行;文件包含;任意文件操作;权限绕过;存在后门;文件上传;逻辑漏洞;栈溢出;堆溢出;内存破坏;整数溢出;释放后重用;类型混淆;沙盒绕过;本地提权;拒绝服务;CRLF注入;SSRF;点击劫持;时间竞争漏洞;敏感信息泄露等。

漏洞收集范围

我们关注当前应用广泛的互联网应用软件类及第三方建站系统程序,具体如下:(注:如无特殊标注,则收取的应用程序版本为当前最新版,下表中的版本信息可能来不及更新

厂商列表

厂商类型 应用名 官网地址
A类厂商 phpMyAdmin https://www.phpmyadmin.net/
A类厂商 DedeCMS http://www.dedecms.com
A类厂商 Discuz! http://www.discuz.net
A类厂商 ECShop http://yunqi.shopex.cn/products/ecshop
A类厂商 CKEditor (FCKEditor) https://ckeditor.com/
A类厂商 Wordpress https://zh-cn.wordpress.com/
A类厂商 Django https://www.djangoproject.com/
A类厂商 WebX http://www.openwebx.org/
A类厂商 Fastjson https://github.com/alibaba/fastjson
A类厂商 Struts2 https://struts.apache.org/
A类厂商 Spring Framework https://projects.spring.io/spring-framework/
A类厂商 Spring Boot https://projects.spring.io/spring-boot/
B类厂商 ThinkPHP http://www.thinkphp.cn/
B类厂商 phpCMS http://www.phpcms.cn/
B类厂商 PHPWind https://www.phpwind.com/
B类厂商 Flask https://github.com/pallets/flask
B类厂商 Drupal https://www.drupal.org/
B类厂商 Joomla https://www.joomla.org/
B类厂商 Yii https://www.yiiframework.com/
B类厂商 CodeIgniter https://codeigniter.com/
B类厂商 ZenTaoPMS(禅道项目管理) http://www.zentao.net/
B类厂商 Empire CMS(帝国CMS) http://www.phome.net/
B类厂商 Tornado http://www.tornadoweb.org/
B类厂商 GitLab https://gitlab.com
B类厂商 Jenkins https://jenkins.io/
B类厂商 Redmine https://www.redmine.org/
B类厂商 ElasticSearch https://www.elastic.co/cn/
B类厂商 Openfire https://www.igniterealtime.org/projects/openfire/
B类厂商 Atlassian Jira https://www.atlassian.com/software/jira
B类厂商 Solr http://lucene.apache.org/solr/
B类厂商 Zabbix https://www.zabbix.com/
B类厂商 WildFly http://wildfly.org/
B类厂商 Magento https://magento.com/
B类厂商 Atlassian Confluence https://www.atlassian.com/software/confluence
B类厂商 Kibana https://www.elastic.co/products/kibana
B类厂商 DokuWiki https://www.dokuwiki.org/dokuwiki
B类厂商 MediaWiki https://www.mediawiki.org/
B类厂商 cPanel https://cpanel.com/
B类厂商 httpFileServer(HFS) http://www.rejetto.com/hfs/
B类厂商 CoreMail http://www.coremail.cn/
B类厂商 Apache Hadoop http://hadoop.apache.org/
C类厂商 Laravel https://laravel.com/
C类厂商 XAMPP https://www.apachefriends.org/zh_cn/index.html
C类厂商 ownCloud https://owncloud.org/
C类厂商 ShopEx http://www.shopex.cn/
C类厂商 OpenCart https://github.com/opencart/opencart
C类厂商 ThinkSNS http://thinksns.com/
C类厂商 Typecho http://typecho.org/
C类厂商 拓尔思(TRS WCM) http://www.trs.com.cn/
C类厂商 万户ezOFFICE http://www.whir.net/cn/cpzx/index_2.html
C类厂商 深信服-VPN http://www.sangfor.com.cn/product/net-safe-ssl.html
C类厂商 金蝶OA http://www.kingdee.com/solutions/field/oa
C类厂商 致远OA http://www.seeyon.com/
C类厂商 泛微OA Office http://www.weaver.com.cn/
C类厂商 Sentry https://sentry.io/
C类厂商 phpBB https://www.phpbb.com/
C类厂商 CMSTOP http://www.cmstop.com/
C类厂商 Piwik https://matomo.org
C类厂商 F5-BIGipServer https://f5.com/products/big-ip
C类厂商 RoundCube https://roundcube.net/
C类厂商 Cacti https://www.cacti.net/
C类厂商 WDCP 主机管理系统 http://www.wdlinux.cn/
C类厂商 Hudson http://jenkins-ci.org/
C类厂商 TurboMail http://www.turbomail.org/
C类厂商 亿邮 http://www.eyou.net/
C类厂商 Zimbra https://www.zimbra.com/
C类厂商 live800 https://www.live800.com/
C类厂商 HDwiki http://kaiyuan.hudong.com/
C类厂商 Webmin http://www.webmin.com/
C类厂商 vBulletin https://www.vbulletin.com/
C类厂商 MyBB https://github.com/mybb
C类厂商 SquirrelMail https://squirrelmail.org/
C类厂商 AMH 云主机面板 http://amh.sh/
C类厂商 ActiveMQ http://activemq.apache.org/
D类厂商 74cms http://www.74cms.com/
D类厂商 PHP168(齐博CMS) http://www.php168.net/
D类厂商 HiShop http://www.hishop.com.cn/
D类厂商 SiteServer CMS http://www.siteserver.cn/
D类厂商 Odoo https://www.odoo.com/zh_CN/
D类厂商 B2Bbuilder http://www.b2b-builder.com/
D类厂商 Gogs https://gogs.io/
F类厂商 通达OA https://www.tongda2000.com/
F类厂商 PbootCMS http://www.asp4cms.com/
F类厂商 Destoon https://www.destoon.com/
F类厂商 MetInfo https://www.metinfo.cn/
F类厂商 Z-Blog https://www.zblogcn.com/
F类厂商 KesionCMS http://www.kesion.com/aspb/
F类厂商 微擎 https://www.we7.cc/
F类厂商 emlog http://www.emlog.net/
F类厂商 主机宝 http://z.admin5.com

评分规则

为解决漏洞评级混乱问题,美国基础设施顾问委员会(NIAC)提出了CVSS公开标准,由FIRST组织进行维护,它被用来评价漏洞的严重与紧急程度。

CVSS漏洞评级标准计算器

基础分值

基础分类型 基础分值名 基础分值数
攻击方式(AV) 远程网络(N)
相邻网络(A)
本地攻击(L)
物理方式(P)
0.85
0.62
0.55
0.2
攻击复杂度(AC) 低(L)
高(H)
0.77
0.44
权限要求(PR) 无(N)
低(L)
高(H)
0.85
0.62(0.68 if影响范围有变化)
0.27(0.50 if影响范围有变化)
用户交互(UI) 不需要(N)
需要(P)
0.85
0.62
C(机密性),I(完整性),A(可用性) 高(H)
低(L)
无(N)
0.56
0.22
0
影响范围(S) 未改变(U)
改变(C)
互联网受影响实例的个数

提示:影响范围权重最高,能够客观检验一个漏洞在互联网上的影响程度。

得分算法:

cvss

根据以上得分,漏洞得分划分为:

无效(0.0) 低危(0.1~3.9) 中危(4.0~6.9) 高危(7.0~9.5) 严重(9.6~10.0)


对应的奖励范围:

厂商类型 严重漏洞 高危漏洞 中危漏洞 低危漏洞
A类厂商 奖金: 50000~500000元
积分: 150
奖金: 20000~50000元
积分: 120
奖金: 4000~15000元
积分: 60
奖金: 500~1000元
积分: 30
B类厂商 奖金: 20000~50000元
积分: 120
奖金: 6000~15000元
积分: 100
奖金: 1500~3000元
积分: 50
奖金: 300~500元
积分: 20
C类厂商 奖金: 10000~15000元
积分: 120
奖金: 3000~6000元
积分: 60
奖金: 800~1500元
积分: 30
奖金: 200~300元
积分: 15
D类厂商 奖金: 2000~3000元
积分: 120
奖金: 1000~2000元
积分: 40
奖金: 500~800元
积分: 20
奖金: 100-200元
积分: 10
F类厂商 奖金: 1000~2000元
积分: 120
奖金: 600~1000元
积分: 40
奖金: 400~600元
积分: 20
奖金: 50-150元
积分: 10

暂不在漏洞收集范畴的类型

  • A、B类厂商以外的XSS漏洞一概不在收取范围;
  • A、B类厂商不收取反射XSS漏洞,SELF-XSS漏洞;
  • 事件型漏洞(如xx厂商的某cms,存在官方接口安全问题,接口在官方服务器上);
  • 其他影响十分有限的漏洞。

漏洞降级

  • 漏洞利用过程中需要涉及非普通用户权限,或在满足一定条件下才能触发的漏洞,将会酌情降级或降低奖励。
  • 后台漏洞目前只收取getshell,漏洞会降级低危处理。

厂商降级

  • 当针对某个厂商收取的高危漏洞数大于30个(未修复状态池),且厂商官方再无能力修复漏洞时,将对厂商进行降级或下线处理,同时暂停收取漏洞。

付款条件和限制

  1. 奖励标准仅适用于列表中的厂商,列表外的厂商,我们将根据厂商应用流行程度和漏洞影响范围,酌情给予奖励;
  2. 同一漏洞多位白帽子在先知平台提交,以时间先后顺序只奖励首位提交者;
  3. 官方无开源代码并且无测试Demo的漏洞,需要提供至少5个互联网以实例证明危害;
  4. 同一个漏洞源产生的多个漏洞计漏洞数量为一。例如:同一功能模块下的不同接口,同一文件的不同参数、同一参数出现在不同文件、同一文件在不同目录、同一漏洞的不同利用方式、不同版本的同一漏洞、同一函数导致漏洞等;
  5. 可以通过修复一个点使得后续利用均不可行的情况,后续漏洞提交均视为重复漏洞。(如多个接口程序中都用到了同一个全局函数进行数据处理,这个全局数据处理函数被利用导致了漏洞形成,则所有此类漏洞均视为同一漏洞。)
  6. 在先知平台通知第三方厂商修复漏洞之前,漏洞在互联网上被公开不给予奖励;
  7. 报告网上已公开的漏洞不给予奖励;
  8. 同一漏洞重复提交至其他漏洞平台,先知平台有权不给予奖励。
  9. 在漏洞处理的任何阶段发现漏洞重复或被公开,先知平台都有权驳回漏洞并取消奖励;对于恶意提交重复漏洞骗取奖励的行为,会给予警告乃至封号处理。

漏洞提交报告要求

为了能够对每个漏洞进行客观评估,兼顾厂商对漏洞的实际影响判断,建议白帽子依据CVSS 3.0标准,补充如下关键信息,从而避免审核过程中造成的偏颇。

  1. 利用方式:远程/本地/物理
  2. 用户交互:不需要登录/需登录/需登录(开放注册)
  3. 权限要求:普通用户/功能管理员/系统管理员
  4. 利用接口:
  5. http://victim.com/show.php?id=100&cat=news
  6. 漏洞利用点参数:
  7. id
  8. 漏洞证明:
  9. SQL注入漏洞
  10. 请补充注入利用证明,跑出数据库的 user() version() database(),建议提供截图;
  11. 命令执行漏洞
  12. 请补充命令执行利用证明,运行命令:whoami 输出的结果,建议提供截图;

注意事项

  1. 恶意报告者将作封号处理;
  2. 报告无关问题的将不予答复;
  3. 阿里巴巴集团员工不得参与或通过朋友参与漏洞奖励计划;
  4. 奖励计划仅适用于通过先知平台报告漏洞的用户;
  5. 漏洞奖励计划最终解释权归先知平台所有。
本文导读目录