文档

通用软件漏洞收集及奖励计划

2023-05-16 12:00 本期活动结束,第二期活动地址:点击跳转

通用软件漏洞情报收集及奖励标准

为了更好地保障云上用户的安全,提升安全防御能力,阿里云先知专门制定了《通用软件漏洞验收及奖励计划》,以提供奖励的方式鼓励白帽子遵循负责任的漏洞披露机制,向我们提供供应链软件的安全漏洞情报信息。

阿里云先知确认漏洞后,将按照流程向您提供现金奖励和荣誉奖励,同时在遵守中国相关法律的情况下将漏洞反馈给软件开发者公司,并向受到影响的合作伙伴共享漏洞情报信息。如果您发现通用软件的漏洞,欢迎您向我们提交,我们会快速响应处理。

漏洞定义

攻击者通过操纵某些数据,使得程序偏离设计者的逻辑,进而引发的安全问题。阿里云先知漏洞平台主要收集应用软件和建站系统程序漏洞。

漏洞名称

白帽子自定义漏洞名称,尽量包含漏洞关键字等信息。

如:PHPTEST v1.0.0前台无限制GetShell。

收集的漏洞类型

我们关注的漏洞类型,包括: SQL注入、XXE、命令执行、文件包含,任意文件上传、SSRF、获取管理员权限、重点敏感信息泄露等。

漏洞收集范围

我们关注当前应用广泛的互联网应用软件类及第三方建站系统程序,具体如下:

厂商类型

应用名

官网地址

A类厂商

泛微OA

https://www.weaver.com.cn/

A类厂商

致远OA

https://www.seeyon.com/

A类厂商

蓝凌OA

http://www.landray.com.cn/

A类厂商

华天动力

http://www.oa8000.com/

A类厂商

万户OA

https://www.whir.net/

A类厂商

通达信科

https://www.tongda2000.com/

A类厂商

云之家

http://www.yunzhijia.com/home/

A类厂商

慧点科技

http://www.smartdot.com/

A类厂商

用友空间(20230425起不再收取)

http://www.yonyou.com/

A类厂商

蓝信

https://www.lanxin.cn/

A类厂商

九思软件

http://www.jiusi.net/

A类厂商

协众软件

https://www.cnoa.cn/

A类厂商

悟空CRM

https://www.5kcrm.com/

A类厂商

久琪软件

https://www.jiuqi.com.cn/

A类厂商

南京大汉

http://www.hanweb.com/

A类厂商

飞企互联

https://www.flyrise.cn/

A类厂商

金蝶k3

https://www.kingdee.com/

B类厂商

coremail

https://www.coremail.cn/

B类厂商

Microsoft Office Outlook/Exchange

https://partner.microsoft.com/zh-cn/Solutions/microsoft-exchange

B类厂商

亿邮

https://www.eyou.net/product/mail.html

B类厂商

BossMail

https://www.laobanmail.com/

B类厂商

TurboMail

http://www.turbomail.org/

B类厂商

安宁邮箱

https://www.anymacro.com/

B类厂商

Fastjson

https://github.com/alibaba/fastjson

B类厂商

Jackson 

https://github.com/FasterXML/jackson

B类厂商

Struts2

https://struts.apache.org/

B类厂商

Spring Framework

https://projects.spring.io/spring-framework/

B类厂商

Spring Boot

https://projects.spring.io/spring-boot/

B类厂商

Apache shiro

https://shiro.apache.org/

B类厂商

Apache log4j

https://logging.apache.org/log4j/2.x/manual/

B类厂商

Apache Druid

https://github.com/apache/druid

B类厂商

weblogic

https://www.oracle.com/middleware/technologies/weblogic-server-installers-downloads.html

B类厂商

WebSphere

https://www.ibm.com/cn-zh/products/websphere-application-server

B类厂商

Jboss

https://jbossas.jboss.org/

B类厂商

Django

https://www.djangoproject.com/

B类厂商

phpMyAdmin

https://www.phpmyadmin.net/

B类厂商

Zabbix

https://www.zabbix.com/

B类厂商

Solr

http://lucene.apache.org/solr/

B类厂商

ZenTaoPMS(禅道项目管理)http://www.zentao.net/

http://www.zentao.net/

B类厂商

Empire CMS(帝国CMS)

http://www.phome.net/

B类厂商

Tornado

http://www.tornadoweb.org/

B类厂商

Jenkins

https://jenkins.io/

B类厂商

ElasticSearch

https://www.elastic.co/cn/

B类厂商

Kibana

https://www.elastic.co/products/kibana

B类厂商

Apache Hadoop

http://hadoop.apache.org/

B类厂商

拓尔思(TRS WCM)

http://www.trs.com.cn/

B类厂商

微擎

https://www.w7.cc/

B类厂商

Z-Blog

https://www.zblogcn.com/

B类厂商

Discuz!

http://www.discuz.net

B类厂商

ECShop

http://yunqi.shopex.cn/products/ecshop

B类厂商

DedeCMS(2023.3.30起不再收取)

http://www.dedecms.com

B类厂商

CKEditor(FCKEditor)

https://ckeditor.com/

B类厂商

Wordpress

https://zh-cn.wordpress.com/

B类厂商

WebX

http://www.openwebx.org/

B类厂商

ThinkPHP

http://www.thinkphp.cn/

B类厂商

phpCMS

http://www.phpcms.cn/

B类厂商

PHPWind

https://www.phpwind.com/

B类厂商

Flask

https://github.com/pallets/flask

B类厂商

Drupal

https://www.drupal.org/

B类厂商

Joomla

https://www.joomla.org/

B类厂商

Yii

https://www.yiiframework.com/

B类厂商

CodeIgniter

https://codeigniter.com/

B类厂商

GitLab

https://gitlab.com

B类厂商

Redmine

https://www.redmine.org/

B类厂商

Openfire

https://www.igniterealtime.org/projects/openfire/

B类厂商

Atlassian Jira

https://www.atlassian.com/software/jira

B类厂商

WildFly

http://wildfly.org/

B类厂商

Magento

https://magento.com/

B类厂商

Atlassian Confluence

https://www.atlassian.com/software/confluence

B类厂商

DokuWiki

https://www.dokuwiki.org/dokuwiki

B类厂商

httpFileServer(HFS)

http://www.rejetto.com/hfs/

B类厂商

F5-BIGipServer

https://f5.com/products/big-ip

B类厂商

MetInfo

https://www.metinfo.cn/

C类厂商

江南科友HAC运维审计系统

https://www.keyou.cn/Products/info.aspx?itemid=119&lcid=3

C类厂商

绿盟安全审计系统

https://www.nsfocus.com.cn/html/2019/197_0926/19.html

C类厂商

绿盟安全管理平台ESP

https://www.nsfocus.com.cn/html/2019/209_1230/96.html

C类厂商

奇安信堡垒机

https://www.qianxin.com/product/detail/pid/385

C类厂商

华为UAM

https://e.huawei.com/cn/products/enterprise-networking/security/security-management/uma1500-v

C类厂商

安恒明御堡垒机

https://www.dbappsecurity.com.cn/product/cloud157.html

C类厂商

云安宝

https://www.yunanbao.com.cn/product_yxz.html

C类厂商

网御星云堡垒机

https://www.leadsec.com.cn/product/220903-90.html

C类厂商

启明星辰天玥网络安全审计系统

https://www.venustech.com.cn/new_type/wlsj/

C类厂商

jumpserver

https://www.jumpserver.org/

C类厂商

齐治堡垒机

https://www.qzsec.com/qz/product/RIS_ACM.html

C类厂商

帕拉迪堡垒机

http://www.pldsec.com/product.aspx

C类厂商

思迪福堡垒机

http://www.logbase.cn/

C类厂商

麒麟堡垒机(2023.4.11起不再收取)

https://www.tosec.com.cn/

C类厂商

H3C SecParh堡垒机

https://www.h3c.com/cn/d_201803/1067455_30005_0.htm

C类厂商

金盾堡垒机

http://www.goldencis.com/product/database-security/6.html

C类厂商

深信服EDR

https://edr.sangfor.com.cn/#/introduction/edr

C类厂商

奇安信终端安全响应系统

https://www.qianxin.com/product/detail/pid/438

C类厂商

奇安信终端安全管理系统(天擎)

https://www.qianxin.com/product/detail/pid/330

C类厂商

金山终端安全系统(2023-4-7 16:00以后不再收取)

https://www.ejinshan.net/lywz/zdv9

C类厂商

安恒明御终端安全及防病毒系统

https://www.dbappsecurity.com.cn/product/cloud158.html

C类厂商

青藤万相主机自适应安全平台

https://www.qingteng.cn/wx-product-home.html

C类厂商

威胁监测与分析系统(天眼)

https://www.qianxin.com/product/detail/pid/328

C类厂商

锐捷交换机

https://www.ruijie.com.cn/cp/jh/

C类厂商

华为交换机

https://support.huawei.com/enterprise/zh/category/switches-pid-1482605678974?submodel=doc

C类厂商

绿盟终端安全管理系统

https://www.nsfocus.com.cn/html/2022/207_0418/153.html

C类厂商

安恒明御安全网关

https://www.dbappsecurity.com.cn/product/cloud151.html

C类厂商

华为NGFW

https://support.huawei.com/enterprise/zh/doc/EDOC1100193602?sendFrom=mobile

C类厂商

天融信入侵检测

https://www.topsec.com.cn/product/40.html

C类厂商

天清汉马USG防火墙

https://www.venustech.com.cn/new_type/fhq/

C类厂商

深信服下一代防火墙

https://www.sangfor.com.cn/product-and-solution/sangfor-security/ngfw

C类厂商

思科防火墙

https://www.cisco.com/c/zh_cn/products/security/asa-next-generation-firewall-services/index.html

C类厂商

天融信下一代防火墙

https://www.topsec.com.cn/product/24.html

C类厂商

山石网科下一代防火墙

https://www.hillstonenet.com.cn/product-and-service/border-security/ngfw/

C类厂商

H3C防火墙

https://www.h3c.com/cn/Products_And_Solution/Proactive_Security/?tab=473296

C类厂商

绿盟NF防火墙系统

https://www.nsfocus.com.cn/html/2019/197_0909/113.html

C类厂商

天融信VPN

https://www.topsec.com.cn/product/46.html

C类厂商

奇安信安全接入网关系统(SSL VPN)

https://www.qianxin.com/product/detail/pid/376

C类厂商

深信服SSL VPN

https://www.sangfor.com.cn/product-and-solution/sangfor-security/ssl-vpn

C类厂商

网御VPN综合安全网关系统

https://www.leadsec.com.cn/product/42.html

C类厂商

启明星辰天清汉马VPN安全网关

https://www.venustech.com.cn/new_type/VPNmmj/

C类厂商

H3C SecPath SSL安全网关

https://www.h3c.com/cn/Products_And_Solution/Proactive_Security/Product_Series/Border_Security/SSL/SecPath_SSL/SecPath_SSL/

C类厂商

华为云桌面

https://www.huaweicloud.com/product/workspace.html

C类厂商

citrix云桌面

https://www.citrix.com/zh-cn/solutions/vdi-and-daas/virtualization-vdi.html

C类厂商

深信服云桌面

https://www.sangfor.com.cn/product-and-solution/sangfor-cloud/adesk

C类厂商

vmware horizon

https://www.vmware.com/cn/products/horizon.html

C类厂商

锐捷云桌面

https://www.ruijie.com.cn/cp/ykt/

C类厂商

vmware ESXI

https://www.vmware.com/cn/products/esxi-and-esx.html

C类厂商

vmware Vcenter

https://www.vmware.com/cn/products/vcenter-server.html

C类厂商

华为 AnyOffice

https://support.huawei.com/enterprise/zh/security/anyoffice-pid-8891687

C类厂商

Citrix XenMobile

https://www.citrix.com/zh-cn/

D类厂商

钉钉

https://www.dingtalk.com/

D类厂商

微信

https://weixin.qq.com/

说明

如无特殊标注,漏洞收集的范围是上表中应用程序的最新版本。最新版本信息,可在应用程序的官网查看,提交漏洞的时候请标明版本。

已提交给官方或者第三方漏洞收集平台的漏洞,平台不再收取,视为无效漏洞,如恶意进行多投,一经发现,封号处理。

评分规则

为解决漏洞评级混乱问题,美国基础设施顾问委员会(NIAC)提出了CVSS公开标准,由FIRST组织进行维护,它被用来评价漏洞的严重与紧急程度。

CVSS漏洞评级标准计算器

基础分类型

基础分值名

基础分值数

攻击方式(AV)

  • 远程网络(N)

  • 相邻网络(A)

  • 本地攻击(L)

  • 物理方式(P)

  • 0.85

  • 0.62

  • 0.55

  • 0.2

攻击复杂度(AC)

  • 低(L)

  • 高(H)

  • 0.77

  • 0.44

权限要求(PR)

  • 无(N)

  • 低(L)

  • 高(H)

  • 0.85

  • 0.62(如果影响范围有变化为0.68)

  • 0.27(如果影响范围有变化为0.50)

用户交互(UI)

  • 不需要(N)

  • 需要(P)

  • 0.85

  • 0.62

  • C(机密性)

  • I(完整性)

  • A(可用性)

  • 高(H)

  • 低(L)

  • 无(N)

  • 0.56

  • 0.220

影响范围(S)

  • 未改变(U)

  • 改变(C)

互联网中受影响实例的个数。

说明

影响范围权重最高,能够客观检验一个漏洞在互联网上的影响程度。

得分算法

根据以上得分,漏洞得分划分为

  • 严重(9.6~10.0)

  • 高危(7.0~9.5)

  • 中危(4.0~6.9)

  • 低危(0.1~3.9)

  • 无效(0.0)

通常,无限制的RCE类漏洞为高危,SQL注入为中危,无回显的ssrf和xml注入以及有限制的文件读取等漏洞为低危。

对应的奖励范围

厂商类型

严重漏洞奖励范围

高危漏洞奖励范围

中危漏洞奖励范围

低危漏洞奖励范围

A类厂商

奖金:20000~50000元

奖金:视具体情况而定,20000元起

奖金:视具体情况而定

奖金:视具体情况而定

B类厂商

奖金:10000~200000元

奖金:视具体情况而定,10000元起

奖金:视具体情况而定

奖金:视具体情况而定

C类厂商

奖金:30000~500000元

奖金:视具体情况而定,30000元起

奖金:视具体情况而定

奖金:视具体情况而定

D类厂商

奖金:100000~200000元

奖金:视具体情况而定,100000起

奖金:视具体情况而定

奖金:视具体情况而定

暂不在漏洞收集范畴的类型

  • A、B类厂商以外的XSS漏洞一概不在收取范围。

  • A、B类厂商不收取反射XSS漏洞,SELF-XSS漏洞。

  • 事件型漏洞(如xx厂商的某cms,存在官方接口安全问题,接口在官方服务器上)。

  • 其他影响十分有限的漏洞。

漏洞降级

  • 漏洞利用过程中需要用户权限的,在无法注册账号的情况下,漏洞会降一级处理(可任意登录的情况除外),需要管理员权限的,通常降两级处理,或在满足一定条件下才能触发的漏洞,将会酌情降级或降低奖励。

  • 后台漏洞目前只收取getshell(OA类、协作类产品的普通用户控制台算作后台),漏洞会降级低危处理。

  • 第三方监管单位反馈漏洞重复时,如无法完全证明时,漏洞严重高危漏洞,统一按低危处理,中危低危漏洞按重复处理。

  • 非最新版本的漏洞,风险默认降低一个等级。

  • 通过数据库(mysql,mssql,redis等)执行命令或者写文件方式的,此类情况漏洞等级评级时不作为参考项,只作为奖金评估的加分项。例如os-shell,redis写入等。

厂商降级

当针对某个厂商收取的高危漏洞数大于10个(未修复状态池),且厂商官方再无能力修复漏洞时,将对厂商进行降级或下线处理,同时暂停收取漏洞。

付款条件和限制

  • 奖励标准仅适用于列表中的厂商,列表外的厂商,我们将根据厂商应用流行程度和漏洞影响范围,酌情给予奖励,通常漏洞在确认后的一个月后发放奖金,被审查的漏洞或有漏洞审查的用户发放奖励为三个月左右,对于信誉高的用户,如果在结算周期内,审核通过后会当天进行结算流程;

  • 同一漏洞多位白帽子在先知平台提交,以时间先后顺序只奖励首位提交者;

  • 官方无开源代码并且无测试Demo的漏洞,需要提供至少5个互联网以实例证明危害;

  • 同一个漏洞源产生的多个漏洞计漏洞数量为一。例如:同一功能模块下的不同接口,同一文件的不同参数、同一参数出现在不同文件、同一文件在不同目录、同一漏洞的不同利用方式、不同版本的同一漏洞、同一函数导致漏洞等;

  • 可以通过修复一个点使得后续利用均不可行的情况,后续漏洞提交均视为重复漏洞。

    说明

    如多个接口程序中都用到了同一个全局函数进行数据处理,这个全局数据处理函数被利用导致了漏洞形成,则所有此类漏洞均视为同一漏洞。

  • 在先知平台提交的漏洞,被提交者在互联网上被公开或传播不给予奖励;

  • 若第三方监管单位反馈漏洞重复,经排查确认后,先知平台会按进行漏洞驳回处理。

  • 报告网上已公开的漏洞不给予奖励;

  • 同一漏洞重复提交至其他第三方漏洞平台,先知平台有权不给予奖励;

  • 在漏洞处理的任何阶段发现漏洞重复或被公开,先知平台都有权驳回漏洞并取消奖励;对于恶意提交重复漏洞骗取奖励的行为,会给予警告乃至封号处理。

漏洞提交报告要求

为了能够对每个漏洞进行客观评估,兼顾厂商对漏洞的实际影响判断,建议白帽子依据CVSS 3.0标准,补充如下关键信息,从而避免审核过程中造成的偏颇。

提交漏洞时,如果厂商列表中未找到要提交的厂商名,请选择其他。

  • 利用方式:远程/本地/物理

  • 影响版本:影响版本号(必填字段)

  • 用户交互:不需要登录/需登录/需登录(开放注册)

  • 权限要求:普通用户/功能管理员/系统管理员

  • 利用接口:http://example.com/XXXXXid=100&xxxxx

  • 漏洞利用点参数:利用接口URL中的id

  • 漏洞证明:

    • SQL注入漏洞:请补充注入利用证明,包括数据库的 user()version()database()的输出结果,建议提供截图。

    • 命令执行漏洞:请补充命令执行利用证明,运行命令whoami 输出的结果,建议提供截图。

    • 分析部分:代码分析过程。漏洞产生原因。

注意事项

  • 恶意报告者将作封号处理。

  • 报告无关问题的将不予答复。

  • 阿里巴巴集团员工不得参与或通过朋友参与漏洞奖励计划。

  • 奖励计划仅适用于通过先知平台报告漏洞的用户。

  • 审核通过的漏洞,严禁泄露或者提交到其他平台,如发现则进行追责和封号处理。

  • 本页导读 (0)
文档反馈