补天漏洞响应平台

白帽子常见疑问的标准答案

发布时间:2018-04-16 16:26:51


常见答疑

 

为了让大家更好的了解白帽子的日常规则,补天经过收集,整理了广大白帽子的普遍疑问。下面是我们总结出的13条常见疑问,详情请戳《白帽子常见疑问》。

 

1. 什么是补天漏洞响应平台?


补天漏洞响应平台是专门处理第三方web应用漏洞等安全问题的快速响应组织。如果您发现第三方web应用的漏洞问题,欢迎您向我们报告漏洞信息,工作人员会第一时间跟进处理。对于您为提升公共网络安全做出的努力,补天漏洞响应平台将致以诚挚感谢。凡是经过本平台确认的漏洞,我们除了发布安全公告致谢外,还将为漏洞报告者提供相应的奖励。
(详见漏洞奖励方案)

 

2. 关于收集漏洞信息的目的?


目前国内很多第三方应用的0day漏洞在外面流传,导致网站处在极端不安全状态。我们希望通过付费收集漏洞的方式,来收集并且推动开发商与安全厂商的升级,进而加速漏洞的修复,降低漏洞带来的风险,最终达到提升网站安全的目的。

 

3. 补天会如何使用提交的漏洞数据?


为了更加快速有效的防护,我们会第一时间加入360网站安全检测、网站卫士。同时也会根据需要共享给其他负责任的安全厂家,共同改善网站安全环境。

 

4. 关于我们接收漏洞的类型?


第三方web应用程序的漏洞(第三方web应用程序的定义,指为广大网站站长所使用的建站程序,如:Discuz、ECShop、ShopEX等)。,

事件漏洞,可能对厂商或社会造成较大危害的漏洞。例如网站getshell,提权服务器,内网渗透,注入造成信息泄露等等。(具体详见漏洞奖励计划)

 

5. 对漏洞信息有相应的安全保护吗?


我们与漏洞提交者共同执行严格的漏洞发布协议,所有安全信息在按照流程处理完成之前绝不会对外公开。

 

6. 漏洞的处理过程是什么?


漏洞上报之后,由工作人员进行跟进对漏洞分析验证。核实确认漏洞信息后,会与相关厂商共同协商修复漏洞

 

7. 漏洞上报者如何知晓漏洞的处理过程?


请随时登入补天漏洞提交网站查询漏洞处理进展。

 

8. 如何支付奖励?


付款方式可以通过银行汇款等方式,可以选择最适合自己的一种方式付款。

 

9. 什么时候才能付款?


一般在确认漏洞后的20个工作日内。

 

10. 我可以提交多少漏洞?


对于漏洞数量没有限制。

 

11. 如果多位研究人员提交相同的漏洞信息,怎么办?


我们可能会收到多个白帽子提交相同的漏洞信息。如果发生这种情况,我们以第一位白帽子提供的信息为准。

 

12.如何检查我提交的漏洞是否重复?


可以到漏洞搜索栏,搜索关键的url,以及漏洞poc等信息,如果检索到相应信息即为重复。

 

13. 我提交内容后,多久会得到报价?


核实时间有所不同,通常是一周以内,具体取决于多种因素,比如目前等候处理的漏洞数量,核实过程的复杂程度以及获得并配置目标环境的难易程度。我们平均在两天内给予回复。