补天漏洞响应平台

补天来收插件啦!

发布时间:2018-06-07 11:00:56

72745323-C56B-4304-BE99-46464255785D.png


如果你是白帽子

碰巧还具备一定脚本能力

那么……请开始你的表演!


呐呐呐~小天也通过随机调查总结出了你们最关心的问题,请看!




1.插件/指纹是什么?要怎么提交呢?




大家都知道,企业用户为了检测自身系统是否存在漏洞,一般都使用通用的漏洞扫描器等开源或者商业化产品。这些产品无一例外需要大量的攻击载荷来支撑,攻击载荷是这些产品的生命线。通过加载各种各样的POC、EXP,这些产品才能够帮助企业用户发现“未知”漏洞,为企业用户预警,并提供专业的解决方案,协助企业用户解决业务安全问题。


这里的攻击 载荷就是我们常说的插件,有人还称之为payload、plugin,不管叫什么名字,它们存在的价值就是帮助企业用户尽早发现未知漏洞,赶在危害来临之前缓解、减轻或者处置完。指纹,顾名思义就是具体某些应用、系统的唯一性标识。通过指纹的唯一性鉴别,可以加快漏洞检测速度以及效果。

为了让广大白帽子能够顺利的编写插件,补天平台提供了丰富的辅助手段和工具,包括插件验证SDK、插件编写指导以及插件编写助手。相信有了补天的助力,你们可以吃着火锅唱着歌就把插件写好了......





2.提交插件/指纹是如何奖励的呢?


使用KB进行奖励,最终积累KB到补天平台,对比漏洞奖励KB同等效益。



提交插件相关字段奖励



插件名称

插件分类

插件代码

受影响软件名称

受影响软件版本

漏洞描述(链接)

插件测试地址

选填:(插件关联指纹,漏洞解决方案)


全部完成字段为100%,每缺少一个字段,字段完成度减20%,缺少插件代码减完成度80%,选填每填一项完成度加10%



插件奖励




插件基础奖励 ( 0 - 20 KB)


有效完善的验证逻辑与代码 0 - 15 KB,编码规范奖励 0-5 KB

有效完善的攻击逻辑与代码 0 - 20 KB,编码规范奖励 0-5 KB


时效权重:

( 0.5 - 1.5 )  X为漏洞首次爆出或公布时间与插件提交时间间距时间

X<3hour                              1.5

3hour<X <= 1day                  1.2

1day< X <= 7day                    1

7day< X <= 1month               0.8

1month<X<1year                   0.2

1year<X                               0.1



通用规则(比如SQL注入)奖励


根据匹配通用的数量不同,以及处理效率,奖励10-200KB


特殊漏洞奖励

不封顶


计算公式


最终奖励 = 基本字段完成度 * 基础奖励
* 时效权重 + 特殊奖励

Demo


小明在2018年5月1日14:00提交一个插件,字段完成度为110%,插件基础奖励为15kb,编码规范奖励为5kb,漏洞公开时间为2018年4月28日14:00,奖励计算为110%*(15kb+5kb)*1 奖励为22KB。




BTW,我还想吃点稿子…………噢不!征点稿子!



敲黑板!我们的补天社区现已开放!

名额有限!速来占位!

铛铛~~征稿要求在这里!



首发征稿

1.绝对原创,且首发于本社区。可以参考文章或相关资料。

2.Web安全,要求具有独到观点和见解。

3.投稿时请留下邮箱、QQ等联系方式,便于后续沟通。


tips征稿

1.绝对原创,且首发于本社区。

2.Web安全或渗透思路相关,提出问题或者分享观念

3.投稿时请留下邮箱、QQ等联系方式,便于后续沟通。


投稿方式

将稿件内容发送至geshen@360.net邮箱


(你们最关心的)

投稿回报


稿件将以帖子形式发出,供用户讨论与探讨。同时会根据稿件质量给予100-1000元不等的现金奖励,精品文章翻倍奖励哦~~~

评价标准


1)内容逻辑与条例是否通顺

2)案例真实性

3)技术内容比例,见解深度

4)技术细节完整程度

5)原创比例

6)创新性