通用软件漏洞收集及奖励计划_安全众测-阿里云帮助中心

通用软件漏洞情报收集及奖励标准

为了更好地保障云上用户的安全，提升安全防御能力，阿里云先知专门制定了《通用软件漏洞验收及奖励计划》，以提供奖励的方式鼓励白帽子遵循负责任的漏洞披露机制，向我们提供供应链软件的安全漏洞情报信息。

阿里云先知确认漏洞后，将按照流程向您提供现金奖励和荣誉奖励，同时在遵守中国相关法律的情况下将漏洞反馈给软件开发者公司，并向受到影响的合作伙伴共享漏洞情报信息。如果您发现通用软件的漏洞，欢迎您向我们提交，我们会快速响应处理。

漏洞定义

攻击者通过操纵某些数据，使得程序偏离设计者的逻辑，进而引发的安全问题。阿里云先知漏洞平台主要收集应用软件和建站系统程序漏洞。

漏洞名称

白帽子自定义漏洞名称，尽量包含漏洞关键字等信息。

如：PHPTEST v1.0.0前台无限制GetShell。

收集的漏洞类型

我们关注的漏洞类型，包括： SQL注入、XXE、命令执行、文件包含，任意文件上传、SSRF、获取管理员权限、重点敏感信息泄露等。

漏洞收集范围

我们关注当前应用广泛的互联网应用软件类及第三方建站系统程序，具体如下：

厂商类型	应用名	官网地址
A类厂商	泛微OA	https://www.weaver.com.cn/
A类厂商	致远OA	https://www.seeyon.com/
A类厂商	蓝凌OA	http://www.landray.com.cn/
A类厂商	华天动力	http://www.oa8000.com/
A类厂商	万户OA	https://www.whir.net/
A类厂商	通达信科	https://www.tongda2000.com/
A类厂商	云之家	http://www.yunzhijia.com/home/
A类厂商	慧点科技	http://www.smartdot.com/
A类厂商	用友空间	http://www.yonyou.com/
A类厂商	蓝信	https://www.lanxin.cn/
A类厂商	九思软件	http://www.jiusi.net/
A类厂商	协众软件	https://www.cnoa.cn/
A类厂商	悟空CRM	https://www.5kcrm.com/
A类厂商	久琪软件	https://www.jiuqi.com.cn/
A类厂商	南京大汉	http://www.hanweb.com/
A类厂商	飞企互联	https://www.flyrise.cn/
A类厂商	金蝶k3	https://www.kingdee.com/
B类厂商	coremail	https://www.coremail.cn/
B类厂商	Microsoft Office Outlook/Exchange	https://partner.microsoft.com/zh-cn/Solutions/microsoft-exchange
B类厂商	亿邮	https://www.eyou.net/product/mail.html
B类厂商	BossMail	https://www.laobanmail.com/
B类厂商	TurboMail	http://www.turbomail.org/
B类厂商	安宁邮箱	https://www.anymacro.com/
B类厂商	Fastjson	https://github.com/alibaba/fastjson
B类厂商	Jackson	https://github.com/FasterXML/jackson
B类厂商	Struts2	https://struts.apache.org/
B类厂商	Spring Framework	https://projects.spring.io/spring-framework/
B类厂商	Spring Boot	https://projects.spring.io/spring-boot/
B类厂商	Apache shiro	https://shiro.apache.org/
B类厂商	Apache log4j	https://logging.apache.org/log4j/2.x/manual/
B类厂商	Apache Druid	https://github.com/apache/druid
B类厂商	weblogic	https://www.oracle.com/middleware/technologies/weblogic-server-installers-downloads.html
B类厂商	WebSphere	https://www.ibm.com/cn-zh/products/websphere-application-server
B类厂商	Jboss	https://jbossas.jboss.org/
B类厂商	Django	https://www.djangoproject.com/
B类厂商	phpMyAdmin	https://www.phpmyadmin.net/
B类厂商	Zabbix	https://www.zabbix.com/
B类厂商	Solr	http://lucene.apache.org/solr/
B类厂商	ZenTaoPMS（禅道项目管理）http://www.zentao.net/	http://www.zentao.net/
B类厂商	Empire CMS（帝国CMS）	http://www.phome.net/
B类厂商	Tornado	http://www.tornadoweb.org/
B类厂商	Jenkins	https://jenkins.io/
B类厂商	ElasticSearch	https://www.elastic.co/cn/
B类厂商	Kibana	https://www.elastic.co/products/kibana
B类厂商	Apache Hadoop	http://hadoop.apache.org/
B类厂商	拓尔思（TRS WCM）	http://www.trs.com.cn/
B类厂商	微擎	https://www.w7.cc/
B类厂商	Z-Blog	https://www.zblogcn.com/
B类厂商	Discuz!	http://www.discuz.net
B类厂商	ECShop	http://yunqi.shopex.cn/products/ecshop
B类厂商	DedeCMS（2023.3.30起不再收取）	http://www.dedecms.com
B类厂商	CKEditor（FCKEditor）	https://ckeditor.com/
B类厂商	Wordpress	https://zh-cn.wordpress.com/
B类厂商	WebX	http://www.openwebx.org/
B类厂商	ThinkPHP	http://www.thinkphp.cn/
B类厂商	phpCMS	http://www.phpcms.cn/
B类厂商	PHPWind	https://www.phpwind.com/
B类厂商	Flask	https://github.com/pallets/flask
B类厂商	Drupal	https://www.drupal.org/
B类厂商	Joomla	https://www.joomla.org/
B类厂商	Yii	https://www.yiiframework.com/
B类厂商	CodeIgniter	https://codeigniter.com/
B类厂商	GitLab	https://gitlab.com
B类厂商	Redmine	https://www.redmine.org/
B类厂商	Openfire	https://www.igniterealtime.org/projects/openfire/
B类厂商	Atlassian Jira	https://www.atlassian.com/software/jira
B类厂商	WildFly	http://wildfly.org/
B类厂商	Magento	https://magento.com/
B类厂商	Atlassian Confluence	https://www.atlassian.com/software/confluence
B类厂商	DokuWiki	https://www.dokuwiki.org/dokuwiki
B类厂商	httpFileServer（HFS）	http://www.rejetto.com/hfs/
B类厂商	F5-BIGipServer	https://f5.com/products/big-ip
B类厂商	MetInfo	https://www.metinfo.cn/
C类厂商	江南科友HAC运维审计系统	https://www.keyou.cn/Products/info.aspx?itemid=119&lcid=3
C类厂商	绿盟安全审计系统	https://www.nsfocus.com.cn/html/2019/197_0926/19.html
C类厂商	绿盟安全管理平台ESP	https://www.nsfocus.com.cn/html/2019/209_1230/96.html
C类厂商	奇安信堡垒机	https://www.qianxin.com/product/detail/pid/385
C类厂商	华为UAM	https://e.huawei.com/cn/products/enterprise-networking/security/security-management/uma1500-v
C类厂商	安恒明御堡垒机	https://www.dbappsecurity.com.cn/product/cloud157.html
C类厂商	云安宝	https://www.yunanbao.com.cn/product_yxz.html
C类厂商	网御星云堡垒机	https://www.leadsec.com.cn/product/220903-90.html
C类厂商	启明星辰天玥网络安全审计系统	https://www.venustech.com.cn/new_type/wlsj/
C类厂商	jumpserver	https://www.jumpserver.org/
C类厂商	齐治堡垒机	https://www.qzsec.com/qz/product/RIS_ACM.html
C类厂商	帕拉迪堡垒机	http://www.pldsec.com/product.aspx
C类厂商	思迪福堡垒机	http://www.logbase.cn/
C类厂商	麒麟堡垒机	https://www.tosec.com.cn/
C类厂商	H3C SecParh堡垒机	https://www.h3c.com/cn/d_201803/1067455_30005_0.htm
C类厂商	金盾堡垒机	http://www.goldencis.com/product/database-security/6.html
C类厂商	深信服EDR	https://edr.sangfor.com.cn/#/introduction/edr
C类厂商	奇安信终端安全响应系统	https://www.qianxin.com/product/detail/pid/438
C类厂商	奇安信终端安全管理系统（天擎）	https://www.qianxin.com/product/detail/pid/330
C类厂商	金山终端安全系统	https://www.ejinshan.net/lywz/zdv9
C类厂商	安恒明御终端安全及防病毒系统	https://www.dbappsecurity.com.cn/product/cloud158.html
C类厂商	青藤万相主机自适应安全平台	https://www.qingteng.cn/wx-product-home.html
C类厂商	威胁监测与分析系统（天眼）	https://www.qianxin.com/product/detail/pid/328
C类厂商	锐捷交换机	https://www.ruijie.com.cn/cp/jh/
C类厂商	华为交换机	https://support.huawei.com/enterprise/zh/category/switches-pid-1482605678974?submodel=doc
C类厂商	绿盟终端安全管理系统	https://www.nsfocus.com.cn/html/2022/207_0418/153.html
C类厂商	安恒明御安全网关	https://www.dbappsecurity.com.cn/product/cloud151.html
C类厂商	华为NGFW	https://support.huawei.com/enterprise/zh/doc/EDOC1100193602?sendFrom=mobile
C类厂商	天融信入侵检测	https://www.topsec.com.cn/product/40.html
C类厂商	天清汉马USG防火墙	https://www.venustech.com.cn/new_type/fhq/
C类厂商	深信服下一代防火墙	https://www.sangfor.com.cn/product-and-solution/sangfor-security/ngfw
C类厂商	思科防火墙	https://www.cisco.com/c/zh_cn/products/security/asa-next-generation-firewall-services/index.html
C类厂商	天融信下一代防火墙	https://www.topsec.com.cn/product/24.html
C类厂商	山石网科下一代防火墙	https://www.hillstonenet.com.cn/product-and-service/border-security/ngfw/
C类厂商	H3C防火墙	https://www.h3c.com/cn/Products_And_Solution/Proactive_Security/?tab=473296
C类厂商	绿盟NF防火墙系统	https://www.nsfocus.com.cn/html/2019/197_0909/113.html
C类厂商	天融信VPN	https://www.topsec.com.cn/product/46.html
C类厂商	奇安信安全接入网关系统（SSL VPN）	https://www.qianxin.com/product/detail/pid/376
C类厂商	深信服SSL VPN	https://www.sangfor.com.cn/product-and-solution/sangfor-security/ssl-vpn
C类厂商	网御VPN综合安全网关系统	https://www.leadsec.com.cn/product/42.html
C类厂商	启明星辰天清汉马VPN安全网关	https://www.venustech.com.cn/new_type/VPNmmj/
C类厂商	H3C SecPath SSL安全网关	https://www.h3c.com/cn/Products_And_Solution/Proactive_Security/Product_Series/Border_Security/SSL/SecPath_SSL/SecPath_SSL/
C类厂商	华为云桌面	https://www.huaweicloud.com/product/workspace.html
C类厂商	citrix云桌面	https://www.citrix.com/zh-cn/solutions/vdi-and-daas/virtualization-vdi.html
C类厂商	深信服云桌面	https://www.sangfor.com.cn/product-and-solution/sangfor-cloud/adesk
C类厂商	vmware horizon	https://www.vmware.com/cn/products/horizon.html
C类厂商	锐捷云桌面	https://www.ruijie.com.cn/cp/ykt/
C类厂商	vmware ESXI	https://www.vmware.com/cn/products/esxi-and-esx.html
C类厂商	vmware Vcenter	https://www.vmware.com/cn/products/vcenter-server.html
C类厂商	华为 AnyOffice	https://support.huawei.com/enterprise/zh/security/anyoffice-pid-8891687
C类厂商	Citrix XenMobile	https://www.citrix.com/zh-cn/
D类厂商	钉钉	https://www.dingtalk.com/
D类厂商	微信	https://weixin.qq.com/

说明

如无特殊标注，漏洞收集的范围是上表中应用程序的最新版本。最新版本信息，可在应用程序的官网查看，提交漏洞的时候请标明版本。

已提交给官方或者第三方漏洞收集平台的漏洞，平台不再收取，视为无效漏洞，如恶意进行多投，一经发现，封号处理。

评分规则

为解决漏洞评级混乱问题，美国基础设施顾问委员会（NIAC）提出了CVSS公开标准，由FIRST组织进行维护，它被用来评价漏洞的严重与紧急程度。

CVSS漏洞评级标准计算器

基础分类型	基础分值名	基础分值数
攻击方式（AV）	远程网络（N）相邻网络（A）本地攻击（L）物理方式（P）	0.85 0.62 0.55 0.2
攻击复杂度（AC）	低（L）高（H）	0.77 0.44
权限要求（PR）	无（N）低（L）高（H）	0.85 0.62（如果影响范围有变化为0.68） 0.27（如果影响范围有变化为0.50）
用户交互（UI）	不需要（N）需要（P）	0.85 0.62
C（机密性） I（完整性） A（可用性）	高（H）低（L）无（N）	0.56 0.220
影响范围（S）	未改变（U）改变（C）	互联网中受影响实例的个数。

说明

影响范围权重最高，能够客观检验一个漏洞在互联网上的影响程度。

得分算法

根据以上得分，漏洞得分划分为：

严重（9.6~10.0）
高危（7.0~9.5）
中危（4.0~6.9）
低危（0.1~3.9）
无效（0.0）

通常，无限制的RCE类漏洞为高危，SQL注入为中危，无回显的ssrf和xml注入以及有限制的文件读取等漏洞为低危。

对应的奖励范围

厂商类型	严重漏洞奖励范围	高危漏洞奖励范围	中危漏洞奖励范围	低危漏洞奖励范围
A类厂商	奖金：20000~50000元	奖金：视具体情况而定，20000元起	奖金：视具体情况而定	奖金：视具体情况而定
B类厂商	奖金：10000~200000元	奖金：视具体情况而定，10000元起	奖金：视具体情况而定	奖金：视具体情况而定
C类厂商	奖金：30000~500000元	奖金：视具体情况而定，30000元起	奖金：视具体情况而定	奖金：视具体情况而定
D类厂商	奖金：100000~200000元	奖金：视具体情况而定，100000起	奖金：视具体情况而定	奖金：视具体情况而定

暂不在漏洞收集范畴的类型

A、B类厂商以外的XSS漏洞一概不在收取范围。
A、B类厂商不收取反射XSS漏洞，SELF-XSS漏洞。
事件型漏洞（如xx厂商的某cms，存在官方接口安全问题，接口在官方服务器上）。
其他影响十分有限的漏洞。

漏洞降级

漏洞利用过程中需要涉及非普通用户权限，或在满足一定条件下才能触发的漏洞，将会酌情降级或降低奖励。
后台漏洞目前只收取getshell（OA类、协作类产品的普通用户控制台算作后台），漏洞会降级低危处理。
第三方监管单位反馈漏洞重复时，如无法完全证明时，漏洞严重高危漏洞，统一按低危处理，中危低危漏洞按重复处理。
非最新版本的漏洞，风险默认降低一个等级。

厂商降级

当针对某个厂商收取的高危漏洞数大于30个（未修复状态池），且厂商官方再无能力修复漏洞时，将对厂商进行降级或下线处理，同时暂停收取漏洞。

付款条件和限制

奖励标准仅适用于列表中的厂商，列表外的厂商，我们将根据厂商应用流行程度和漏洞影响范围，酌情给予奖励，通常漏洞在确认后的一个月后发放奖金，被审查的漏洞或有漏洞审查的用户发放奖励为三个月左右；
同一漏洞多位白帽子在先知平台提交，以时间先后顺序只奖励首位提交者；
官方无开源代码并且无测试Demo的漏洞，需要提供至少5个互联网以实例证明危害；
同一个漏洞源产生的多个漏洞计漏洞数量为一。例如：同一功能模块下的不同接口，同一文件的不同参数、同一参数出现在不同文件、同一文件在不同目录、同一漏洞的不同利用方式、不同版本的同一漏洞、同一函数导致漏洞等；
可以通过修复一个点使得后续利用均不可行的情况，后续漏洞提交均视为重复漏洞。
说明
如多个接口程序中都用到了同一个全局函数进行数据处理，这个全局数据处理函数被利用导致了漏洞形成，则所有此类漏洞均视为同一漏洞。
在先知平台提交的漏洞，被提交者在互联网上被公开或传播不给予奖励；
若第三方监管单位反馈漏洞重复，经排查确认后，先知平台会按进行漏洞驳回处理。
报告网上已公开的漏洞不给予奖励；
同一漏洞重复提交至其他第三方漏洞平台，先知平台有权不给予奖励；
在漏洞处理的任何阶段发现漏洞重复或被公开，先知平台都有权驳回漏洞并取消奖励；对于恶意提交重复漏洞骗取奖励的行为，会给予警告乃至封号处理。

漏洞提交报告要求

为了能够对每个漏洞进行客观评估，兼顾厂商对漏洞的实际影响判断，建议白帽子依据CVSS 3.0标准，补充如下关键信息，从而避免审核过程中造成的偏颇。

提交漏洞时，如果厂商列表中未找到要提交的厂商名，请选择其他。

利用方式：远程/本地/物理
影响版本：影响版本号（必填字段）
用户交互：不需要登录/需登录/需登录（开放注册）
权限要求：普通用户/功能管理员/系统管理员
利用接口：http://example.com/XXXXXid=100&xxxxx
漏洞利用点参数：利用接口URL中的id
漏洞证明：
- SQL注入漏洞：请补充注入利用证明，包括数据库的 user()或 version()或 database()的输出结果，建议提供截图。
- 命令执行漏洞：请补充命令执行利用证明，运行命令whoami 输出的结果，建议提供截图。
- 分析部分：代码分析过程。漏洞产生原因。

注意事项

恶意报告者将作封号处理。
报告无关问题的将不予答复。
阿里巴巴集团员工不得参与或通过朋友参与漏洞奖励计划。
奖励计划仅适用于通过先知平台报告漏洞的用户。
审核通过的漏洞，严禁泄露或者提交到其他平台，如发现则进行追责和封号处理。