< 文档首页
全部产品
弹性计算
存储
数据库
安全
大数据
人工智能
网络与CDN
视频服务
容器与中间件
开发与运维
API与工具
物联网
物联网行业方案
专有云
专有云(线下)
企业应用与服务
数字金融
域名与网站
工商财税与知识产权
解决方案
会员服务
更多

    通用漏洞验收及奖励标准

    KB: 40065

     · 

    更新时间:2020-05-01 22:57

    我的收藏
    本页目录

    通用软件漏洞情报收集及奖励标准

    为了更好地保障云上用户的安全,提升安全防御能力,阿里云盾(先知)专门制定了《通用软件漏洞情报奖励计划》,以提供奖励的方式鼓励白帽子遵循负责任的漏洞披露机制,向我们提供通用软件的安全漏洞情报信息。

    云盾先知确认漏洞后,将按照流程向您提供现金奖励和荣誉奖励,同时将漏洞向通用软件官方提交,并向受到影响的合作伙伴共享漏洞情报信息。如果您发现第三方通用软件的漏洞,欢迎您向我们提交,我们会第一时间响应处理。

    漏洞定义

    攻击者通过操纵某些数据,使得程序偏离设计者的逻辑,进而引发的安全问题。先知计划漏洞平台主要收集应用软件和建站系统程序漏洞。

    漏洞名称

    白帽子自定义漏洞名称,尽量包含漏洞关键字等信息。

    如:PHPTEST v1.0.0前台无限制Getshell。

    收集的漏洞类型

    我们关注的漏洞类型,包括: XSS跨站、SQL注入、XXE、命令执行、文件包含、任意文件操作、权限绕过、存在后门、文件上传、逻辑漏洞、栈溢出、堆溢出、内存破坏、整数溢出、释放后重用、类型混淆、沙盒绕过、本地提权、拒绝服务、CRLF注入、SSRF、点击劫持、时间竞争漏洞、敏感信息泄露等。

    短期活动

    Outlook_mail,Anymacro_mail,Hanweb,WordPress,Weblogic,Jeecms,ThinkPHP,EasySite,Sangfor_Application,Springboot,Eyou_mail,Sangfor_firewall,CitrixNetScaler,DotNetNuke_cms,Array_vpn,蓝凌OA,Secworld_vpn,Jboss

    如上相关的通用全部提升到A类,只收取RCE /SQL等前台漏洞,奖励丰厚!

    漏洞收集范围

    我们关注当前应用广泛的互联网应用软件类及第三方建站系统程序,具体如下:

    厂商类型 应用名 官网地址
    A类厂商 phpMyAdmin https://www.phpmyadmin.net/
    A类厂商 Discuz! http://www.discuz.net
    A类厂商 Wordpress https://zh-cn.wordpress.com/
    A类厂商 Django https://www.djangoproject.com/
    A类厂商 WebX http://www.openwebx.org/
    A类厂商 Fastjson https://github.com/alibaba/fastjson
    A类厂商 Weblogic https://www.oracle.com/middleware/technologies/weblogic.html
    A类厂商 ThinkPHP http://www.thinkphp.cn/
    A类厂商 Jetty https://www.eclipse.org/jetty/
    A类厂商 Tomcat http://tomcat.apache.org/
    A类厂商 Nginx http://nginx.org/
    A类厂商 GlassFish https://javaee.github.io/glassfish/
    A类厂商 Microsoft IIS https://www.iis.net/
    A类厂商 Jboss http://www.jboss.org/
    A类厂商 Struts2 https://struts.apache.org/
    A类厂商 Spring Framework https://projects.spring.io/spring-framework/
    A类厂商 Spring Boot https://projects.spring.io/spring-boot/
    B类厂商 Cicso vpn https://www.cisco.com
    B类厂商 phpCMS http://www.phpcms.cn/
    B类厂商 PHPWind https://www.phpwind.com/
    B类厂商 Flask https://github.com/pallets/flask
    B类厂商 Drupal https://www.drupal.org/
    B类厂商 Ruby on Rails https://github.com/rails/rails
    B类厂商 Express https://expressjs.com/
    B类厂商 Gitea https://github.com/go-gitea/gitea
    B类厂商 Bitbucket https://www.atlassian.com/software/bitbucket/download
    B类厂商 Adminer https://www.adminer.org/
    B类厂商 phpMiniAdmin https://github.com/osalabs/phpminiadmin
    B类厂商 宝塔linux面板 https://www.bt.cn/
    B类厂商 Hanweb http://www.hanweb.com/
    B类厂商 ZooKeeper https://zookeeper.apache.org/
    B类厂商 Yii https://www.yiiframework.com/
    B类厂商 CodeIgniter https://codeigniter.com/
    B类厂商 ZenTaoPMS(禅道项目管理) http://www.zentao.net/
    B类厂商 DedeCMS http://www.dedecms.com
    B类厂商 Tornado http://www.tornadoweb.org/
    B类厂商 GitLab https://gitlab.com
    B类厂商 Jenkins https://jenkins.io/
    B类厂商 Redmine https://www.redmine.org/
    B类厂商 ElasticSearch https://www.elastic.co/cn/
    B类厂商 Openfire https://www.igniterealtime.org/projects/openfire/
    B类厂商 Atlassian Jira https://www.atlassian.com/software/jira
    B类厂商 Solr http://lucene.apache.org/solr/
    B类厂商 Zabbix https://www.zabbix.com/
    B类厂商 WildFly http://wildfly.org/
    B类厂商 Atlassian Confluence https://www.atlassian.com/software/confluence
    B类厂商 Kibana https://www.elastic.co/products/kibana
    B类厂商 MediaWiki https://www.mediawiki.org/
    B类厂商 cPanel https://cpanel.com/
    B类厂商 httpFileServer(HFS) http://www.rejetto.com/hfs/
    B类厂商 CoreMail http://www.coremail.cn/
    B类厂商 Apache Hadoop http://hadoop.apache.org/
    B类厂商 ActiveMQ http://activemq.apache.org/
    B类厂商 Shiro https://github.com/apache/shiro
    B类厂商 Gogs https://gogs.io/
    B类厂商 Nexus Repository https://www.sonatype.com/product-nexus-repository
    B类厂商 ZooKeepe https://zookeeper.apache.org/
    B类厂商 Sentry https://sentry.io/
    B类厂商 CKEditor(FCKEditor) https://ckeditor.com/
    B类厂商 万户ezOFFICE http://www.whir.net/cn/cpzx/index_2.html
    B类厂商 Cacti https://www.cacti.net/
    B类厂商 Webmin http://www.webmin.com/
    B类厂商 Apereo CAS https://github.com/apereo/cas
    C类厂商 ECShop http://yunqi.shopex.cn/products/ecshop
    C类厂商 用友NC http://nc.yonyou.com/
    C类厂商 Laravel https://laravel.com/
    C类厂商 XAMPP https://www.apachefriends.org/zh_cn/index.html
    C类厂商 ownCloud https://owncloud.org/
    C类厂商 拓尔思(TRS WCM) http://www.trs.com.cn/
    C类厂商 Empire CMS(帝国CMS) http://www.phome.net/
    C类厂商 深信服-VPN http://www.sangfor.com.cn/product/net-safe-ssl.html
    C类厂商 金蝶OA http://www.kingdee.com/solutions/field/oa
    C类厂商 致远OA http://www.seeyon.com/
    C类厂商 泛微OA Office http://www.weaver.com.cn/
    C类厂商 nagios-xi https://www.nagios.com/products/nagios-xi/
    C类厂商 Joomla https://www.joomla.org/
    C类厂商 Piwik https://matomo.org
    C类厂商 F5-BIGipServer https://f5.com/products/big-ip
    C类厂商 RoundCube https://roundcube.net/
    C类厂商 WDCP 主机管理系统 http://www.wdlinux.cn/
    C类厂商 Hudson http://jenkins-ci.org/
    C类厂商 TurboMail http://www.turbomail.org/
    C类厂商 亿邮 http://www.eyou.net/
    C类厂商 Zimbra https://www.zimbra.com/
    C类厂商 Apache RocketMQ https://rocketmq.apache.org/
    C类厂商 Apache Dubbo https://dubbo.apache.org/zh-cn/
    C类厂商 Harbor https://github.com/goharbor/harbor
    C类厂商 Sentinel https://github.com/alibaba/Sentinel/wiki/%E6%8E%A7%E5%88%B6%E5%8F%B0
    C类厂商 Grafana https://github.com/grafana/grafana
    C类厂商 Harbo https://github.com/goharbor/harbor
    C类厂商 SquirrelMail https://squirrelmail.org/
    C类厂商 AMH 云主机面板 http://amh.sh/
    D类厂商 74cms http://www.74cms.com/
    D类厂商 齐博CMS http://www.qibosoft.com/
    D类厂商 HiShop http://www.hishop.com.cn/
    D类厂商 SiteServer CMS http://www.siteserver.cn/
    D类厂商 PHP168 http://www.php168.net/
    D类厂商 B2Bbuilder http://www.b2b-builder.com/
    D类厂商 Typecho http://typecho.org/
    D类厂商 OpenCart https://github.com/opencart/opencart
    D类厂商 DokuWiki https://www.dokuwiki.org/dokuwiki
    D类厂商 ShopEx http://www.shopex.cn/
    D类厂商 通达OA https://www.tongda2000.com/
    C类厂商 CMSTOP http://www.cmstop.com/
    D类厂商 HDwiki http://kaiyuan.hudong.com/
    D类厂商 phpBB https://www.phpbb.com/
    D类厂商 ThinkSNS http://thinksns.com/
    D类厂商 live800 https://www.live800.com/
    D类厂商 MyBB https://github.com/mybb
    F类厂商 PbootCMS http://www.asp4cms.com/
    F类厂商 Magento https://magento.com/
    F类厂商 Odoo https://www.odoo.com/zh_CN/
    F类厂商 Destoon https://www.destoon.com/
    F类厂商 vBulletin https://www.vbulletin.com/
    F类厂商 MetInfo https://www.metinfo.cn/
    F类厂商 Z-Blog https://www.zblogcn.com/
    F类厂商 KesionCMS http://www.kesion.com/aspb/
    F类厂商 微擎 https://www.we7.cc/
    F类厂商 emlog http://www.emlog.net/
    F类厂商 主机宝 http://z.admin5.com

    说明 如无特殊标注,漏洞收集的范围是上表中应用程序的最新版本。最新版本信息,可在应用程序的官网查看。

    评分规则

    为解决漏洞评级混乱问题,美国基础设施顾问委员会(NIAC)提出了CVSS公开标准,由FIRST组织进行维护,它被用来评价漏洞的严重与紧急程度。

    CVSS漏洞评级标准计算器

    基础分类型 基础分值名 基础分值数
    攻击方式(AV) 远程网络(N)
    相邻网络(A)
    本地攻击(L)
    物理方式(P)    		 0.85
    0.62
    0.55
    0.2
    攻击复杂度(AC) 低(L)
    高(H)    		 0.77
    0.44
    权限要求(PR) 无(N)
    低(L)
    高(H)    		 0.85
    0.62(如果影响范围有变化为0.68)
    0.27(如果影响范围有变化为0.50)
    用户交互(UI) 不需要(N)
    需要(P)    		 0.85
    0.62
    C(机密性)
    I(完整性)
    A(可用性)    		 高(H)
    低(L)
    无(N)    		 0.56
    0.220
    0.0
    影响范围(S) 未改变(U)
    改变(C)    		 互联网中受影响实例的个数

    说明 影响范围权重最高,能够客观检验一个漏洞在互联网上的影响程度。

    得分算法得分算法

    根据以上得分,漏洞得分划分为

    • 严重(9.6~10.0)
    • 高危(7.0~9.5)
    • 中危(4.0~6.9)
    • 低危(0.1~3.9)
    • 无效(0.0)

    对应的奖励范围

    厂商类型 严重漏洞奖励范围 高危漏洞奖励范围 中危漏洞奖励范围 低危漏洞奖励范围
    A类厂商 奖金:50000~500000元
    积分:150    		 奖金:20000~50000元
    积分:120    		 奖金:4000~15000元
    积分:60    		 奖金:500~1000元
    积分:30
    B类厂商 奖金:20000~50000元
    积分:120    		 奖金:6000~15000元
    积分:100    		 奖金:1500~3000元
    积分:50    		 奖金:300~500元
    积分:20
    C类厂商 奖金:10000~15000元
    积分:120    		 奖金:3000~6000元
    积分:60    		 奖金:800~1500元
    积分:30    		 奖金:200~300元
    积分:15
    D类厂商 奖金:2000~3000元
    积分:120    		 奖金:1000~2000元
    积分:40    		 奖金:500~800元
    积分:20    		 奖金:100~200元
    积分:10
    F类厂商 奖金:1000~2000元
    积分:120    		 奖金:600~1000元
    积分:40    		 奖金:400~600元
    积分:20    		 奖金:50~150元
    积分:10

    暂不在漏洞收集范畴的类型

    • A、B类厂商以外的XSS漏洞一概不在收取范围。
    • A、B类厂商不收取反射XSS漏洞,SELF-XSS漏洞。
    • 事件型漏洞(如xx厂商的某cms,存在官方接口安全问题,接口在官方服务器上)。
    • 其他影响十分有限的漏洞。

    漏洞降级

    • 漏洞利用过程中需要涉及非普通用户权限,或在满足一定条件下才能触发的漏洞,将会酌情降级或降低奖励。
    • 后台漏洞目前只收取getshell(OA类、协作类产品的普通用户控制台算作后台),漏洞会降级低危处理。

    厂商降级

    当针对某个厂商收取的高危漏洞数大于30个(未修复状态池),且厂商官方再无能力修复漏洞时,将对厂商进行降级或下线处理,同时暂停收取漏洞。

    付款条件和限制

    • 奖励标准仅适用于列表中的厂商,列表外的厂商,我们将根据厂商应用流行程度和漏洞影响范围,酌情给予奖励;
    • 同一漏洞多位白帽子在先知平台提交,以时间先后顺序只奖励首位提交者;
    • 官方无开源代码并且无测试Demo的漏洞,需要提供至少5个互联网以实例证明危害;
    • 同一个漏洞源产生的多个漏洞计漏洞数量为一。例如:同一功能模块下的不同接口,同一文件的不同参数、同一参数出现在不同文件、同一文件在不同目录、同一漏洞的不同利用方式、不同版本的同一漏洞、同一函数导致漏洞等;
    • 可以通过修复一个点使得后续利用均不可行的情况,后续漏洞提交均视为重复漏洞。说明 如多个接口程序中都用到了同一个全局函数进行数据处理,这个全局数据处理函数被利用导致了漏洞形成,则所有此类漏洞均视为同一漏洞。
    • 在先知平台通知第三方厂商修复漏洞之前,漏洞在互联网上被公开不给予奖励;
    • 报告网上已公开的漏洞不给予奖励;
    • 同一漏洞重复提交至其他第三方漏洞平台,先知平台有权不给予奖励;
    • 在漏洞处理的任何阶段发现漏洞重复或被公开,先知平台都有权驳回漏洞并取消奖励;对于恶意提交重复漏洞骗取奖励的行为,会给予警告乃至封号处理。

    漏洞提交报告要求

    为了能够对每个漏洞进行客观评估,兼顾厂商对漏洞的实际影响判断,建议白帽子依据CVSS 3.0标准,补充如下关键信息,从而避免审核过程中造成的偏颇。

    • 利用方式:远程/本地/物理
    • 用户交互:不需要登录/需登录/需登录(开放注册)
    • 权限要求:普通用户/功能管理员/系统管理员
    • 利用接口:http://example.com/XXXXXid=100&xxxxx
    • 漏洞利用点参数:利用接口URL中的id
    • 漏洞证明:
      • SQL注入漏洞:请补充注入利用证明,包括数据库的 user()或 version()或 database()的输出结果,建议提供截图。
      • 命令执行漏洞:请补充命令执行利用证明,运行命令whoami 输出的结果,建议提供截图。

    注意事项

    • 恶意报告者将作封号处理。
    • 报告无关问题的将不予答复。
    • 阿里巴巴集团员工不得参与或通过朋友参与漏洞奖励计划。
    • 奖励计划仅适用于通过先知平台报告漏洞的用户。
    • 漏洞奖励计划最终解释权归先知平台所有。