挖财安全应急响应中心漏洞奖励细节v1.0

发布日期:2017/03/15

基本原则

我们对于保护广大用户利益,帮助挖财旗下产品安全提升的白帽子黑客,给予非常的感谢和提供丰厚的奖励。

目前对同一地址同一类型漏洞最先报告者给予奖励,其他报告者均不记分,漏洞修复过程中不公开漏洞详情。

奖励仅适用于挖财旗下的产品和业务,并在本平台上提交的漏洞和威胁情报,在外部平台上提交做无效处理。


我们坚决反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害广大用户利益的黑客行为,包括:

但不限于利用漏洞盗取用户资料、入侵业务系统、修改、窃取或删除相关系统资料、恶意传播漏洞或数据等。

对于发生上述行为的,我们有权追究其非法行为所应承担的法律责任。


 

漏洞处理流程

对于每一个级别的漏洞,我们会根据漏洞利用的技术难度、漏洞所造成的影响范围等进行综合考虑,分成不同的漏洞等级,

并给与发现漏洞提交者本人给予相应的现金或积分(礼品)奖励,奖励参考业内标准执行(目前具体奖励细则在制定中)。

根据漏洞出现的业务等级,漏洞危害程度分为高危、中危、低危、忽略四个级别,每个级别涵盖的漏洞以及评分标准如下:

 

高危:

直接获取系统权限(内部服务器权限、数据库权限)的漏洞。包括但不限于远程任意命令执行、代码执行、

任意文件上传获取Webshell并可执行、SQL注入获取系统权限、服务器解析漏洞、文件包含漏洞、越权绕过漏洞等。

严重的逻辑设计缺陷。包括但不限于任意账号登陆、任意账号密码修改、短信邮件验证的绕过。

严重的敏感信息泄露。包括但不限于严重的SQL注入、任意文件包含读取、客户信息任意读取等。

包括但不限于绕过验证直接访问重要系统后台、核心系统弱口令、SSH弱口令,数据库弱口令等。

 

中危:

需要交互才能获取用户身份信息的漏洞。包括存储型XSS等。

普通逻辑设计缺陷。包括但不限于无限制短信邮件的发送等。

非重点产品线、利用难度较大的SQL注入漏洞等。

 

低危:

一般信息泄露漏洞。包括但不限于路径泄露、SVN文件泄露、LOG文件泄露等。

无法利用或者难以利用的漏洞,包括但不限于反射型XSS和只能弹自己的XSS。

 

忽略:

不涉及安全问题的bug。包括但不限于产品功能缺陷、页面乱码、样式混编等。

无法重现的漏洞、不能直接体现漏洞的其他问题。包括但不限于纯属用户猜测的问题。

 

特别提示:本平台由于采用的某开源系统进行修改,对本SRC平台漏洞我们不提供现金奖励。

我们更希望白帽子把测试重心放在挖财主营业务如门户、论坛、支付、充值、还款等重要业务场景。



返回列表