提交漏洞流程

白帽子可以通过先知控制台参与漏洞提交任务,报告漏洞和情报,以协助企业提前修复漏洞,从而防止恶意攻击,维护计算机和互联网的安全。本文介绍白帽子参与任务及提交漏洞和情报的具体流程。

image

步骤一:注册认证并完善个人资料

白帽子需要先注册阿里云账号并完成个人认证,才能申请参加先知平台的安全众测任务。先知平台在上线新版后,旧版不再可用。以下为白帽子注册登录新版先知控制台,完善个人资料的流程。

  1. 注册阿里云账户,完成个人认证。

    • 历史用户:指在阿里安全响应中心(ASRC)及先知(安全众测)平台上已注册的所有白帽子。

      白帽子在进入旧版控制台后,将被引导重新注册阿里云账号并完成个人认证,以便将已获得的积分、赏金及任务平移至新版先知平台。

    • 新用户

      1. 注册阿里云官网账号的方法,请参见账号注册(PC端)账号注册(阿里云 App 端)

      2. 完成个人实名认证

  2. 登录先知控制台

  3. 完善个人资料:先知平台将根据白帽子个人资料及支付账号,了解其擅长技能,以进行项目分配和奖金发放。因此,白帽子需完善个人信息,并配置个人支付信息。

    重要

    请确保收款账号及个人信息真实有效,且姓名与支付宝账号一致,否则将影响奖金的支付。

步骤二:查看和报名任务

先知平台提供企业众测和SRC类型的任务,白帽子用户可在先知控制台查看所有可参与的任务,并选择感兴趣的任务进行报名参与。

  1. 先知控制台的左侧导航栏选择任务列表

  2. 任务列表页面,可以查看任务总数参与的任务总数以及全部任务的基本信息(包括任务类型报名时间任务时间人数限制赏金等)。

    全部任务包括第三方企业任务和阿里云任务(阿里专区),任务类型企业众测SRC两种。

    白帽子可以通过筛选任务类型、资产类型和项目名称,搜索感兴趣的任务。

    说明

    如果任务卡片右上角显示更新,任务可能更新了报名时间、赏金、资产范围等信息,需要及时关注。

  3. 单击任务卡片上的查看详情,可以查看当前任务的企业介绍任务说明赏金计划以及任务完成进度等。

  4. 全部任务页签,找到可报名的目标任务,然后单击我要报名

  5. 在弹出的对话框中,查看《任务保密协议》以及《阿里云先知安全众测协议》的内容,选中我已阅读并同意

  6. 单击确定

    报名任务后,可以在我的任务页签查看任务审核状态。审核通过后,任务卡片显示提交漏洞/情报按钮。

    image

步骤三:提交漏洞和情报

报名任务审核通过后,白帽子可以在我的任务页面提交漏洞和情报。

重要
  • 请务必提供详尽的漏洞及情报信息,描述越具体,越有利于先知平台运营人员准确反馈并给予合理的奖励金额。

  • 提交漏洞后,先知平台的运营人员将对所收到的漏洞报告进行内部评估。在确认漏洞存在后的24小时内,运营人员将确定漏洞的等级及相应奖金,并在3个月内完成奖金的发放。

  1. 我的任务页签中,找到已审核通过的任务卡片,单击提交漏洞/情报,根据提交页面的指引,选择提交类型,然后提交对应的安全漏洞或情报信息。

    提交类型

    字段

    说明

    漏洞

    资产选择

    选择该漏洞对应的资产等级、资产类型、详细资产。

    漏洞类型

    选择漏洞归属的类型,如Web安全漏洞、移动安全漏洞、PC端安全漏洞、系统/网络漏洞、安全事件、IoT安全漏洞、安全情报、应用漏洞以及其他几大类。

    漏洞名称

    填写对该漏洞的命名。

    漏洞等级

    选择漏洞危险等级,分为严重,高危,中危,低危。

    URL地址

    漏洞涉及到的URL地址。

    漏洞详情

    填写漏洞的详细说明,漏洞证明,以及修复方案。

    情报

    资产选择

    选择该漏洞对应的资产等级、资产类型、详细资产。

    情报类型

    可以选择业务情报、定向项目情报、技术情报。

    情报名称

    输入情报名称。

    情报等级

    可以选择严重、高危、中危、低危、无危险。

    URL地址

    情报涉及到的URL地址。

    情报详情

    填写情报的详细说明及问题证明。

  2. 阅读用户保密协议,然后选中我同意前的复选框。

  3. 单击提交,提交的漏洞或情报信息进入阿里云审核平台。

    白帽子也可以单击保存,此时填写的漏洞或情报信息仅保存在先知平台,不提交到阿里云审核平台。

  4. 可选:在我的任务页签,单击目标任务卡片的查看详情,可以查看该任务的详细信息。

    • 任务完成进度当前任务已收录的漏洞数量/当前任务需要收录的漏洞总数

    • 赏金计划:该任务针对不同资产等级的漏洞赏金标准,资产等级分为超级资产、关键资产、核心资产、一般资产、边界资产、边缘资产。

    • 资产范围:展示该任务支持众测的资产等级、业务名称,资产类型,详细资产,并支持筛选搜索。

    • 任务说明:展示阿里云制定的不同漏洞等级标准,包括漏洞处理一般策略、漏洞降级、重复、无效说明和不关注的漏洞等。

    • 变更记录:展示该任务在报名状态后进行的修改记录。

    • 白帽子排行榜:展示参与该任务的白帽子及其团队的排名,按照获得的赏金数进行排序展示,内容包括名次、白帽昵称、团队名称、在该任务中获得的积分及赏金,并支持筛选不同时间的白帽子排名。

后续操作

  • 查看和管理漏洞:在漏洞管理页面查看已提交漏洞和情报的审核详情以及历史漏洞和情报的积分、赏金统计。

  • 查看和管理财务:白帽子可以查看赏金累计、待打款、积分累计,以及历史提交的所有漏洞的积分和赏金记录。

  • 在控制台左侧导航栏单击先知社区,前往先知社区页面进行相关技术交流。

  • 在控制台左侧导航栏单击先知官网,前往阿里云安全先知众测平台页面,查看更多项目、白帽子活动和英雄榜等信息。

相关文档

  • 查看和编辑个人资料:白帽子可以查看其在先知平台的排名、提交的漏洞和情报数量、总积分及赏金总额。同时,白帽子也可以编辑个人资料和支付信息,以便先知平台更好地了解其成就、技能,并确保正常发放赏金福利。

  • 查看和管理团队:白帽子可以加入或创建团队,参与团队管理。先知平台将从团队维度统计历史提交的漏洞和情报详情,以及积分、赏金和排名等相关信息。