通用漏洞提交样例

白帽子提交的漏洞修复方案需要包含以下内容:
  1. 说明在哪个目录文件中的哪一行,需进行怎样的修复可完全修复该漏洞。
  2. 有条件的情况下,可以准备两份文件(修复前、修复后),并使用 diff 指令得到 diff 文件。例如某 CMS 系统存在 SQL 注入漏洞,修复方案是使用 addslashes 进行转义,可提供以下文件:


说明
请您认真思考并编写修复方案,先知平台运营人员将对修复方案本身的完备性和对目标 CMS 系统的兼容性进行评估,并酌情给予奖励,奖励标准请见当月公告。

通过先知平台发现的漏洞会被公开吗?

先知(安全众测)平台会对所有入驻企业的漏洞进行严格的保密,包括漏洞的标题、简述及详情,更不会使用或暗指企业的漏洞来做宣传(企业已授权的情况除外)。

白帽子测试过程中对业务造成影响会如何处理?

先知(安全众测)平台的白帽子都需要经过实名认证,以保证平台白帽子的真实可信。绝大多数白帽子都会以友好的方式帮助发现潜在的安全隐患并协助企业修复。若白帽子在测试过程中,恶意攻击企业系统,并造成了严重的后果,先知平台运营人员将配合企业一起共同处理。

在入驻先知(安全众测)平台时,企业也应当适当提高自身的安全防护强度,定时备份重要数据,以防意外。

为什么先知平台需要阿里云的企业账号并通过实名认证?

企业账号实名认证是先知平台用来检验入驻人员是否为真正企业身份的重要方式,以避免他人恶意冒名注册以收集企业的漏洞。

已经购买众多安全产品,为什么还需要加入先知平台?

安全产品主要是用于自动化检测安全问题,但并不足够智能。通用化的检测技术暂时还无法实现紧贴业务的安全检测,特别是一些权限或业务逻辑的安全问题,自动化的安全工具很难发现,只能依靠人工去检测。

白帽子利用攻击者的思维,可以更全面的角度来发现潜在的安全问题。

如何获得阿里安全团队的技术支持?

在白帽子提交漏洞以及先知平台运营人员审核漏洞时,阿里集团安全团队会为企业提供大致的漏洞修复方法。由于无法知晓企业业务的具体代码和逻辑,安全团队也仅能提供常规的修复意见,无法深入解决。

如果您对安全有更高的需求,可以联系先知平台运营人员,以获取其他安全服务。同时,先知(安全众测)平台正在积极联系推进第三方安全服务企业入驻先知平台提供漏洞修复服务,以实现良好的安全生态环境。