漏洞提交入口:https://xianzhi.aliyun.com/。登录后,选择通用漏洞第五期项目进行漏洞提交。
本期仅收取评级为高危、严重的前台GetShell漏洞。
2024年07月04日更新:本期活动将于北京时间2024年07月26日12:00结束,逾期不再收取漏洞。
通用软件漏洞情报收集及奖励标准
为了更好地保障云上用户的安全,提升安全防御能力,阿里云先知专门制定了《通用软件漏洞验收及奖励计划》。该计划旨在通过提供奖励,鼓励白帽子遵循负责任的漏洞披露机制,向我们提供供应链软件的安全漏洞情报。
阿里云先知在确认漏洞后,将按照既定流程向您提供现金奖励和荣誉奖励。同时,在遵循中国相关法律的前提下,阿里云先知将漏洞信息反馈给软件开发公司,并与受影响的合作伙伴共享漏洞情报。如果您发现通用软件的漏洞,欢迎您向我们提交,我们将迅速响应并进行处理。
漏洞定义
攻击者通过操纵某些数据,使程序偏离设计者设定的逻辑,从而引发安全问题。阿里云先知漏洞平台主要负责收集应用软件及建站系统中的程序漏洞。
收集的漏洞类型定义
我们关注的漏洞类型分为几个评价维度,包括:
权限要求:
pre-auth:认证前(未授权)。
组合类漏洞。
具体漏洞类型:
SQL注入:具体收取通过与其他漏洞组合可完成GetShell的漏洞。
模板注入(SSTI)。
任意代码执行。例如:反序列化(Java、PHP、.NET)、表达式执行(Ognl、Mvel、Groovy等)、越界读写。
任意命令执行。
任意文件上传。
鉴权绕过(权限绕过)。例如:F2A认证绕过、越权、Session伪造。
获取管理员权限。例如:任意密码重置、任意用户添加、任意用户登录。
漏洞收集范围
漏洞收集目标
本期重点收取列表中产品的漏洞。对于未在此列表中的产品,其漏洞审核优先级将降低。同时,将根据厂商应用的流行程度和漏洞的影响范围,酌情给予相应的奖励。
产品名 | 厂商名 | 产品类型 |
35企业邮箱 | 厦门三五互联科技股份有限公司 | E |
263企业邮箱 | 北京二六三企业通信有限公司 | E |
亿邮电子邮件系统 | 北京亿中邮信息技术有限公司(亿邮通讯) | E |
中企全球邮 | 中企动力科技股份有限公司 | E |
AnyMacro-Mail | 北京安宁创新网络科技股份有限公司 | E |
Coremail | 广东盈世计算机科技有限公司 | E |
Eastnet-Mail | 北京东方网景网络技术有限公司 | E |
Exchange | Microsoft | E |
Richmail | 深圳市彩讯科技有限公司 | E |
TurboMail | 广州拓波软件科技有限公司 | E |
U-Mail | 深圳市福洽科技有限公司 | E |
Winmail | 苏州华兆科技有限公司 | E |
Zimbra | Zimbra | E |
360终端安全管理系统 | 360数字安全集团(三六零数字安全科技集团有限公司) | A |
安恒明御终端安全及防病毒系统 | 杭州安恒信息技术股份有限公司 | A |
北信源内网安全管理系统 | 北京北信源软件股份有限公司 | A |
火绒终端安全管理系统 | 北京火绒网络科技有限公司 | A |
联软UniEDR终端检测与响应系统 | 深圳市联软科技股份有限公司 | A |
绿盟终端检测与响应系统 | 绿盟科技集团股份有限公司 | A |
奇安信天擎终端安全管理系统 | 奇安信科技集团股份有限公司 | A |
启明星辰终端高级威胁检测与响应系统 | 启明星辰信息技术集团股份有限公司 | A |
青藤万相主机自适应安全平台 | 北京升鑫网络科技有限公司(青藤云安全) | A |
深信服终端安全管理系统EDR | 深信服科技股份有限公司 | A |
天融信终端威胁防御系统 | 北京天融信科技股份有限公司 | A |
Nacos | 阿里巴巴 | B |
Apache-ActiveMQ | Apache | B |
Apache-Kafka | Apache | B |
Apache-RocketMQ | Apache | B |
RabbitMQ | VMware | B |
大华视频监控平台 | 浙江大华技术股份有限公司 | E |
大华智慧园区综合管理平台 | 浙江大华技术股份有限公司 | E |
方正畅享全媒体新闻生产系统 | 北京北大方正电子有限公司 | E |
海康威视综合安防管理平台 | 杭州海康威视数字技术股份有限公司 | E |
科蓝CSII-CMS | 北京科蓝软件系统股份有限公司 | E |
拓尔思内容协作平台(TRS WCM) | 拓尔思信息技术股份有限公司 | E |
拓尔思信息发布应用服务器系统(TRS WAS) | 拓尔思信息技术股份有限公司 | E |
万户ezEIP(企业网站管理系统) | 北京万户网络技术有限公司 | E |
AnyShare企业云盘 | 上海爱数信息技术股份有限公司 | E |
EasySite内容管理平台 | 北京中科汇联科技股份有限公司 | E |
JCMS | 大汉软件股份有限公司 | E |
JEECMS | 江西金磊科技发展有限公司 | E |
JeeSite | 济南卓源软件有限公司 | E |
Journalx | 北京玛格泰克科技发展有限公司 | E |
WordPress | WordPress | E |
ZCMS | 北京泽元迅长软件有限公司 | E |
360运维安全管理系统(堡垒机) | 360数字安全集团(三六零数字安全科技集团有限公司) | C |
安恒明御运维审计与风险控制系统 | 杭州安恒信息技术股份有限公司 | C |
宝塔面板 | 广东堡塔安全技术有限公司 | C |
华为云-云堡垒机CBH | 华为技术有限公司 | C |
绿盟运维安全管理系统OSMS | 绿盟科技集团股份有限公司 | C |
帕拉迪堡垒机SMS | 杭州帕拉迪网络科技有限公司 | C |
奇安信网神运维审计系统 | 奇安信科技集团股份有限公司 | C |
启明星辰天玥运维安全网关 | 启明星辰信息技术集团股份有限公司 | C |
思福迪堡垒机(LogBase) | 杭州思福迪信息技术有限公司 | C |
天融信运维安全审计系统 | 北京天融信科技股份有限公司 | C |
云匣子堡垒机 | 深圳云安宝科技有限公司 | C |
中新金盾安全管理与运维审计系统 | 中新网络信息安全股份有限公司 | C |
H3C-SecPath运维审计系统 | 新华三集团(H3C) | C |
JumpServer堡垒机 | 杭州飞致云信息科技有限公司 | C |
RIS-ACA齐治访问控制审计系统 | 浙江齐治科技股份有限公司 | C |
Spug运维平台 | 上海时巴克科技有限公司 | C |
安恒明御综合日志审计平台 | 杭州安恒信息技术股份有限公司 | A |
H3C-SecCenter综合日志审计平台 | 新华三集团(H3C) | A |
安恒明御安全网关(DAS-Gateway) | 杭州安恒信息技术股份有限公司 | A |
迪普科技防火墙 | 杭州迪普科技股份有限公司 | A |
华为USG防火墙 | 华为技术有限公司 | A |
奇安信网神新一代智慧防火墙 | 奇安信科技集团股份有限公司 | A |
启明星辰天清汉马USG防火墙 | 启明星辰信息技术集团股份有限公司 | A |
深信服下一代防火墙AF | 深信服科技股份有限公司 | A |
天融信NGFW下一代防火墙 | 北京天融信科技股份有限公司 | A |
Cisco-ASA | Cisco | A |
FortiGate(NGFW) | Fortinet | A |
Juniper-Firewalls | Juniper | A |
禅道 | 青岛易软天创网络科技有限公司 | H |
Atlassian-Jira | Atlassian | H |
迪普科技VPN | 杭州迪普科技股份有限公司 | A |
绿盟安全认证网关(NSFOCUS SAG) | 绿盟科技集团股份有限公司 | A |
奇安信安全接入网关系统(SSL VPN) | 奇安信科技集团股份有限公司 | A |
启明星辰天清汉马VPN安全网关 | 启明星辰信息技术集团股份有限公司 | A |
深信服零信任访问控制系统aTrust | 深信服科技股份有限公司 | A |
深信服SSL-VPN | 深信服科技股份有限公司 | A |
数篷科技DACS凌川 | 数篷科技(深圳)有限公司 | A |
天融信VPN | 北京天融信科技股份有限公司 | A |
网御VPN综合安全网关系统 | 北京网御星云信息技术有限公司 | A |
Array-SSL-VPN | Array-Networks | A |
Cisco-AnyConnect-VPN | Cisco | A |
Citrix-Access-Gateway | Citrix | A |
H3C-SecPath-SSL安全网关 | 新华三集团(H3C) | A |
SonicWall-SSL-VPN | SonicWall | A |
帆软报表 | 帆软软件有限公司 | E |
神策全域用户经营分析平台 | 神策网络科技(北京)有限公司 | E |
用友YonBIP | 用友网络科技股份有限公司 | E |
SmartBI | 广州思迈特软件有限公司 | E |
泛微e-bridge | 上海泛微网络科技有限公司 | E |
泛微e-cology | 上海泛微网络科技有限公司 | E |
泛微e-Mobile | 上海泛微网络科技有限公司 | E |
广联达LinkOffice9(广联达OA) | 广联达科技股份有限公司 | E |
国泰新点软件epoint | 国泰新点软件股份有限公司 | E |
金和OA-JC6 | 北京金和网络股份有限公司 | E |
蓝凌KK | 深圳市蓝凌软件股份有限公司 | E |
蓝凌OA | 深圳市蓝凌软件股份有限公司 | E |
通达OA | 北京通达信科科技有限公司 | E |
万户FlexOffice | 北京万户网络技术有限公司 | E |
致远M3协同办公平台 | 北京致远互联软件股份有限公司 | E |
致远OA-A6+协同管理平台 | 北京致远互联软件股份有限公司 | E |
致远OA-A8+协同管理平台 | 北京致远互联软件股份有限公司 | E |
致远OA-G6政务协同管理平台 | 北京致远互联软件股份有限公司 | E |
xxl-job | 开源软件 | C |
海康威视摄像头 | 杭州海康威视数字技术股份有限公司 | F |
嘉扬人力资源管理软件 | 上海嘉扬信息系统有限公司 | E |
华为FusionAccess | 华为技术有限公司 | D |
深信服aDesk | 深信服科技股份有限公司 | D |
Citrix-VDI | Citrix | D |
H3C-Workspace | 新华三集团(H3C) | D |
VMware-Horizon | VMware | D |
科蓝分布式应用系统PowerService | 北京科蓝软件系统股份有限公司 | B |
Adobe-ColdFusion | Adobe | B |
Microsoft-SharePoint | Microsoft | B |
Primeton-EOS-Platform | 普元信息技术股份有限公司 | B |
TongWeb | 东方通 | B |
WebSphere | IBM | B |
吉大正元身份认证网关 | 吉大正元信息技术股份有限公司 | A |
派拉员工身份与访问控制eIAM | 上海派拉软件股份有限公司 | A |
竹云统一身份管理平台(BIM) | 深圳竹云科技股份有限公司 | A |
Apereo-CAS | 开源软件 | A |
金蝶云星空 | 金蝶软件(中国)有限公司 | E |
金蝶EAS-Cloud | 金蝶软件(中国)有限公司 | E |
明源云ERP | 深圳市明源云科技有限公司 | E |
用友NC | 用友网络科技股份有限公司 | E |
用友NC-Cloud | 用友网络科技股份有限公司 | E |
Apache-OFBiz | Apache | E |
亿赛通新一代数据泄露防护系统(DLP) | 北京亿赛通科技发展有限责任公司 | A |
奇安信网络安全审计系统 | 奇安信科技集团股份有限公司 | A |
启明星辰天玥网络安全审计系统 | 启明星辰信息技术集团股份有限公司 | A |
契约锁 | 上海亘岩网络科技有限公司 | E |
群杰印章管理平台 | 江苏群杰物联科技有限公司 | E |
章管家-印章智慧管理平台 | 上海建业信息科技股份有限公司 | E |
e签宝 | 杭州天谷信息科技有限公司 | E |
若依(RuoYi) | 开源软件 | I |
JeecgBoot | 北京敲敲云科技有限公司 | I |
奇安信上网行为管理系统 | 奇安信科技集团股份有限公司 | A |
启明星辰天玥网络安全审计系统-互联网行为管控 | 启明星辰信息技术集团股份有限公司 | A |
深信服全网行为管理AC | 深信服科技股份有限公司 | A |
天融信上网行为管理系统 | 北京天融信科技股份有限公司 | A |
深信服应用交付AD | 深信服科技股份有限公司 | A |
Citrix-NetScaler | Citrix | A |
天融信负载均衡系统 | 北京天融信科技股份有限公司 | A |
F5-BIG-IP | F5 | A |
Atlassian-Confluence | Atlassian | E |
DokuWiki | 开源软件 | E |
I-Doc-View | 北京卓软在线信息技术有限公司 | E |
kkFileView | 上海凯京信达科技集团有限公司 | E |
ShowDoc | ShowDoc | E |
亿赛通新一代电子文档安全管理系统(CDG) | 北京亿赛通科技发展有限责任公司 | A |
AnyOffice | 华为技术有限公司 | A |
onlyoffice | Ascensio-System-SIA | A |
XWiki | XWiki | A |
智齿客服系统 | 北京智齿数汇科技有限公司 | E |
Any800全渠道智能客服云平台 | 上海久科信息技术有限公司 | E |
Live800全渠道在线客服系统 | 成都天润金铠甲科技有限公司 | E |
Apache-APISIX | Apache | J |
Apache-Hadoop | Apache | B |
Apache-Solr | Apache | B |
Apache-Spark | Apache | B |
Elasticsearch | Elastic | B |
Kibana | Elastic | B |
Logstash | Elastic | B |
Alibaba-Druid | 阿里巴巴 | G |
Apache-Axis2 | Apache | G |
Apache-Shiro | Apache | G |
Fastjson | 阿里巴巴 | G |
Jackson | 开源软件 | G |
Xstream | 开源软件 | G |
YApi接口管理平台 | 开源软件 | G |
Apache-Struts2 | Apache | I |
RichFaces | RedHat | I |
SpringBoot | VMware | I |
ThinkPHP | 上海顶想信息科技有限公司 | I |
Gitblit | 开源软件 | H |
Gitee | 深圳奥思网络科技有限公司 | H |
Gitlab | GitLab | H |
Gogs | 开源软件 | H |
SonarQube | Sonar | H |
Cacti | Cacti | C |
Grafana | Grafana Labs | C |
Nagios | Nagios | C |
Prometheus | 开源软件 | C |
Sunfire | 阿里巴巴 | C |
Zabbix | Zabbix | C |
Harbor | 开源软件 | H |
Jenkins | 开源软件 | H |
MinIO | MinIO | H |
Nexus-Repository-Manager | Sonatype | H |
phpMyAdmin | 开源软件 | G |
华为FusionCompute | 华为技术有限公司 | D |
H3C-CAS-CVM虚拟化管理系统 | 新华三集团(H3C) | D |
VMware-ESXi | VMware | D |
VMware-vCenter | VMware | D |
VMware-vSphere | VMware | D |
VMWare-WorkSpace-ONE | VMware | A |
联软UniNAC网络准入控制系统 | 深圳市联软科技股份有限公司 | A |
奇安信网神网络安全准入系统 | 奇安信科技集团股份有限公司 | A |
SaltStack | SaltProject | C |
国信e采招标投标交易平台 | 国信招标集团股份有限公司 | E |
新点智慧招采系统 | 国泰新点软件股份有限公司 | E |
郑州信源金融保险业网上采购系统 | 郑州信源信息技术股份有限公司 | E |
郑州信源企业电子化采购系统 | 郑州信源信息技术股份有限公司 | E |
郑州信源政府电子化采购系统 | 郑州信源信息技术股份有限公司 | E |
筑龙电子采购平台 | 北京筑龙信息技术有限责任公司 | E |
LiveBOS灵动业务架构平台 | 福建顶点软件股份有限公司 | I |
联软UniEMM企业移动安全管理平台 | 深圳市联软科技股份有限公司 | A |
中远麒麟堡垒机 | 北京中远麒麟科技有限公司 | C |
GeoServer | 开源软件 | G |
暂不在漏洞收集范畴的类型
非前台GetShell漏洞不在本期收取范围内。
其他危害较低且无法证明其危害性的漏洞。
无法进一步利用并能证明其危害的溢出漏洞。
事件型漏洞。例如,某厂商的某CMS存在官方接口安全问题,该接口部署于官方服务器上。
漏洞名称规范
单个漏洞的命名应遵循以下规范:漏洞影响组件名称_漏洞发生位置_漏洞权限要求_漏洞类型。
漏洞影响组件名称:指出导致漏洞的具体组件名称,该组件可以是Web应用、特定插件、某一系统或通用模块等。
漏洞发生位置:指出导致漏洞产生的具体问题,包括该问题所处的文件位置(例如
/example/example.php),或者具体的通用函数名或类名(例如Example函数),亦或是两者的组合情况。漏洞权限要求:利用该漏洞所需的权限可分为两类:认证前(pre-auth:未授权)和认证后(post-auth:普通用户、特权用户)。
漏洞类型:请参见本文的收集的漏洞类型定义。
示例:
Apache-ActiveMQ_ExceptionResponseMarshaller_未授权任意代码执行漏洞。
Apache-Solr_Schema Designer_未授权远程代码执行漏洞。
组合漏洞的命名应遵循以下规范:漏洞影响组件名称_组合漏洞描述_漏洞权限要求_漏洞类型。
漏洞影响组件名称:指产生漏洞的具体组件名称,该组件可以是Web应用、某个插件、某个系统或某个通用模块等。
漏洞权限要求:利用漏洞所需的权限要求可分为认证前(pre-auth:未授权)和认证后(post-auth:普通用户、特权用户)。若漏洞属于组合类型漏洞,则应以最终效果进行命名。
例如:漏洞为
前台敏感信息获取+Session伪造+后台API代码执行,漏洞权限可定义为未授权代码执行漏洞。漏洞类型:请参见本文的收集的漏洞类型定义。
示例:
泛微e-cology_session伪造致使未授权代码执行漏洞(组合漏洞为:
前台敏感信息获取+Session伪造+后台代码执行)。F5-BIG-IP_SSRF致使未授权代码执行漏洞(组合漏洞为:
前台SSRF获取Token+认证后后端API代码执行)。
漏洞提交报告要求
为确保对每个漏洞进行客观评估,并兼顾厂商对漏洞实际影响的判断,建议白帽子依据CVSS 3.1标准,补充以下关键信息,以避免在审核过程中出现偏颇。
漏洞提交信息应格式化为:
厂商名称。
产品名称。
利用方式:远程、本地。
权限要求:
pre-auth/post-auth(普通用户、功能管理员、系统管理员)。漏洞类型:请参见本文的收集的漏洞类型定义。
是否提供可复现的环境、源码。
影响版本:应避免填写全版本此类信息,应明确具体影响的大版本号,并在下方指纹中给出对应指纹或案例。
产品指纹:具体指纹、空间搜索引擎搜索语句。
漏洞证明:
漏洞产生的具体接口、功能。
完整的漏洞分析及漏洞利用流程。若涉及多个漏洞组合使用,应详细描述清楚每个漏洞所获得的相关信息及完整的利用过程。
漏洞证明需提供以下资料:
漏洞分析过程。
漏洞利用程序(EXP)。
漏洞利用视频:
视频中需展示漏洞利用的版本。
视频中应包含具体的EXP利用演示,详述其使用方式及最终利用结果的展示,例如弹出计算器、写入文件以及DNSLog接收到的请求。
漏洞利用程序及其相关视频可以通过网盘链接的方式在漏洞报告中进行展示。
漏洞报告中涉及的代码片段,请使用Markdown格式的代码块进行编写。
代码执行和命令执行漏洞:请补充代码执行和命令执行的利用证明。例如,弹出计算器、写入文件或DNSLog接收到请求的情况。
如无法提供复现环境或靶场,需补充至少五个互联网案例,并提供相关指纹信息。
漏洞评分及定价规则
先知漏洞评分规则综合考虑CVSS 3.1评分、漏洞影响面评分及漏洞利用可能性评分进行评定。
奖励标准仅适用于列表中的厂商。对于不在列表中的厂商,我们将根据其应用的流行程度及漏洞的影响范围,酌情给予奖励。
计分类型 | 基础分类型 | 基础分值名 | 说明 |
漏洞基础分(满分10分,评分权重40%) | 攻击矢量(AV) |
| 该指标反映了利用漏洞的潜在可能性。基础分值越高,攻击者利用漏洞组件的距离在逻辑和物理上均越远。 |
攻击复杂度(AC) |
| 攻击者为成功利用该漏洞所需付出的努力。 | |
权限要求(PR) |
| 该指标描述了攻击者在成功利用漏洞之前所需具备的权限级别。 | |
用户交互(UI) |
| 该指标反映了除攻击者之外,其他用户参与成功入侵漏洞组件的要求。该指标决定了漏洞是否可以完全按照攻击者的意图被利用,或者是否需要单独的用户(或用户启动的进程)以某种方式参与。 | |
影响范围(S) |
| 成功的攻击是否会对易受攻击组件以外的其他组件产生影响?如果是,则应增加基础分值,并且保密性、完整性和身份验证指标应相对于受影响的组件进行评分。 | |
机密性(C) |
| 机密性指的是限制仅授权用户能够访问和披露信息,同时防止未经授权的用户访问或披露该信息。 | |
完整性(I) |
| 完整性指的是信息的可信度与真实性。 | |
可用性(A) |
| 可用性指的是受影响组件本身可用性的损失,例如网络服务(如网络、数据库、电子邮件)。由于可用性涉及信息资源的可访问性,因此任何消耗网络带宽、处理器周期或磁盘空间的攻击都可能对受影响组件的可用性产生影响。 | |
漏洞威胁及利用评分(满分10分,评分权重60%) | 漏洞攻击价值(总分3分) |
|
|
漏洞利用价值(总分7分) |
|
|
漏洞评分及定价计算方式
相关定义:
漏洞基础分:漏洞基础分即CVSS 3.1 Base Score评分,满分10分,白帽子可通过CVSS3.1漏洞评级标准计算器进行计算,相关基础评分说明见上表。
漏洞威胁及利用评分:此评分包括漏洞攻击价值评分和漏洞利用价值评分,满分为10分。具体评定由先知团队进行审核并给出评定,详细评定说明请参见上表。
加权值:
漏洞基础分的加权值为0.4,表示漏洞基础分在最终漏洞评分中的占比为40%。
漏洞威胁及利用评分的加权值为0.6,即漏洞威胁及利用评分在最终漏洞评分中占比60%。
计算方式:
最终得分=漏洞基础分(满分10分)*40%+漏洞威胁及利用评分(满分10分)*60%
根据最终得分,可将漏洞划分为以下评级:
严重:[9.0-10.0]。
高危:[7.0-9.0)。
中危:[4.0-7.0)。
低危:[1.0-4.0)。
无效:[0,1)。
对应奖励:
产品类型 | 严重漏洞奖励范围 | 高危漏洞奖励范围 | 中危漏洞奖励范围 | 低危漏洞奖励范围 |
A | 最高500000元 | 最高50000元 | 本次暂不收取 | 本次暂不收取 |
B | 最高350000元 | 最高50000元 | 本次暂不收取 | 本次暂不收取 |
C | 最高200000元 | 最高50000元 | 本次暂不收取 | 本次暂不收取 |
D | 最高500000元 | 最高100000元 | 本次暂不收取 | 本次暂不收取 |
E | 最高500000元 | 最高20000元 | 本次暂不收取 | 本次暂不收取 |
F | 最高10000元 | 最高5000元 | 本次暂不收取 | 本次暂不收取 |
G | 最高200000元 | 最高50000元 | 本次暂不收取 | 本次暂不收取 |
H | 最高50000元 | 最高30000元 | 本次暂不收取 | 本次暂不收取 |
I | 最高100000元 | 最高50000元 | 本次暂不收取 | 本次暂不收取 |
J | 奖金视具体情况而定 | 奖金视具体情况而定 | 本次暂不收取 | 本次暂不收取 |
具体案例:
Apache-ActiveMQ_ExceptionResponseMarshaller_未授权任意代码执行漏洞:
漏洞基础分:9.8。
漏洞威胁及利用评分:
漏洞攻击价值:3。
漏洞利用价值:7。
总分:9.8*0.4+10*0.6=9.92分,严重。
产品类型归属:B。
消息中间件,严重漏洞奖励最高10万。
特殊说明
奖励标准仅适用于列表中的厂商。对于不在列表中的厂商,我们将根据其应用的流行程度及漏洞的影响范围,进行酌情奖励。
官方未提供开源代码及测试Demo的漏洞,需提供至少五个互联网案例以证明其危害性。
可以通过修复某个特定漏洞,导致后续利用该漏洞的情况变得不可行,随后的漏洞提交将被视为重复漏洞。
漏洞降级
在漏洞利用过程中,如需用户权限且无法注册账号的情况下,该漏洞将降一级处理(可任意登录的情况除外)。若该漏洞需要管理员权限,通常将降两级处理;在满足特定条件才能触发的漏洞,将酌情降级或降低奖励。
后台漏洞目前只收取GetShell(OA类、协作类产品的普通用户控制台算作后台),漏洞会视情况进行降级处理。
第三方监管单位反馈漏洞重复时,如无法完全证明非重复性,则:
严重、高危漏洞,统一按低危处理。
中危、低危漏洞按照重复处理。
经审核校验,若漏洞影响版本有限,则漏洞评级将默认降低一个等级。提交时,请明确说明受影响的版本范围。
通过数据库(如MySQL、MsSQL、Redis等)执行命令或写文件的方式,在漏洞等级评级时不作为参考项,仅作为奖金评估的加分项。例如,OS-Shell和Redis写入等情况。
厂商降级
当针对某个厂商收取的高危漏洞数量超过3个(未修复状态池),且该厂商官方已无能力修复这些漏洞时,将对该厂商进行降级或下线处理,并暂停漏洞收取。
漏洞接收及打款流程
漏洞接收流程
具体流程为:
白帽子依据漏洞名称规范及漏洞提交报告要求,整理待提交的漏洞基础信息,并通过先知指定的渠道进行提交。
先知在收到白帽子提交的基础漏洞信息后,将在5个工作日内作出回复(若存在大量漏洞需进行审核,可能会超出该时间)。如符合接收标准,将附上漏洞评分及报价。
白帽子则需要在5个工作日内进行确认或拒绝。
先知收录该漏洞,并根据付款流程发放漏洞奖励。
由同一漏洞源引发的多个漏洞计为一个漏洞。例如:在同一功能模块下的不同接口、同一文件的不同参数、同一参数在不同文件中出现、同一文件位于不同目录、同一漏洞的不同利用方式、不同版本的同一漏洞、以及同一函数引发的漏洞等情况。
审核时间:工作日10:00~18:00。
打款流程
通常漏洞结款日期为本期漏洞全部审核完成当月的15~20日,到账期为T+1月:
若漏洞完成交付待打款日期为20日之前(不包含15日),则于下月20日进行打款。
若漏洞完成交付待打款日期为20日之后(包含15日),则认为其打款区间为下个月的打款区间,则于下下月20日进行打款。
示例:
若在2024年03月03日完成交付并进入打款流程,则于2024年04月20日进行打款。
若在2024年03月15日完成交付并进入打款流程,则于2024年05月20日进行打款。
同一漏洞由多位白帽子在先知平台提交时,将按照时间先后顺序,仅对首位提交者给予奖励。
要求与限制
当出现以下任一情况,先知有权不发放奖励:
报告网上已公开的漏洞不给予奖励。
在先知平台提交的漏洞,如果提交者在互联网上公开或传播该漏洞,将不予以奖励。
在漏洞处理的所有阶段(包括打款T+1阶段),如果发现漏洞存在重复或已被公开,先知平台有权驳回该漏洞并取消相关奖励。
对于同一漏洞重复提交至其他第三方漏洞平台的情况,先知平台有权不予奖励。
若第三方监管单位反馈漏洞重复,经排查确认后,先知平台将对此漏洞进行驳回处理。
当出现以下任一情况,先知将调整漏洞价格或终止漏洞审核流程:
漏洞的详细信息与概要信息不符,例如:漏洞影响的版本、漏洞类型以及存在的利用条件等。
提供的环境无法进行搭建、提供的环境不可控,或提供的互联网案例不符合相关要求。
经过验证的漏洞属于已收录的重复漏洞。
在审核漏洞详细信息时,发现其与漏洞概要信息存在出入或信息不准确,导致漏洞未能通过审核。
在提交之后,出现了其他人也提交了相同的漏洞。
当出现以下任一情况,先知将对用户提交的漏洞判定为“不采用”,并终止接收该漏洞:
白帽子提交漏洞概要后,经过先知审核仍需补充信息的,用户在5个工作日内未完成补充。
白帽子提交漏洞详细信息后,经过先知审核仍需补充信息的,用户在5个工作日内未完成补充。
白帽子在确认漏洞奖励之前选择终止的,先知将停止收集该漏洞,删除用户提交的漏洞信息,并承诺不会将用户提交的漏洞信息用于其他用途。
白帽子提交的漏洞信息经先知审核后,如不符合收录要求,将被判定为“不采用”,并终止对该漏洞的收集。
当出现以下任一情况,先知将对用户进行警告或封号处理:
恶意提交重复漏洞以获取奖励的行为,将受到警告,严重者将面临封号处理。
同一漏洞若重复提交至其他第三方漏洞平台,将直接导致该白帽子账户被封禁。
在先知平台提交的漏洞,如果被提交者在互联网上公开或传播,将对其白帽子身份进行追责及警告。
注意事项
恶意报告者将受到封号处理。
与报告无关的问题将不予以答复。
阿里巴巴集团员工不得直接或通过朋友参与漏洞奖励计划。
奖励计划仅适用于通过先知平台提交漏洞报告的用户。
审核通过的漏洞,其知识产权默认归属于阿里云先知平台。严禁将漏洞信息泄露或提交至其他平台。如发现此类行为,将取消漏洞奖金的发放,且已打款的奖金将被追回。同时,阿里云先知平台保留采取进一步法律行动的权利。