厂商付费奖励计划

立即加入私有SRC >>

补天漏洞响应平台(https://butian.360.cn/)是国内首个现金奖励漏洞平台,旨在为企业和白帽子搭建桥梁,帮助企业建立自己的SRC(安全应急响应中心)。补天台对漏洞第一时间响应、急速处理,保护企业的切身利益。与此同时,我们首创众包模式的安全服务,鼓励企业出面发起奖励计划,将白帽子吸纳到SRC中来。白帽子通过平台提交企业网站安全漏洞,平台第一时间通知企业,企业对漏洞做出快速响应,从而提高网站对黑客攻击的防御能力,弥补自动扫描的缺点和不足。真正做到让企业放心,让白帽子获得收益,为企业安全保驾护航。

目前,补天漏洞响应平台两种合作方式:

公有SRC模式:

公有SRC模式是厂商(指企业)通过注册补天平台享受系统漏洞通报服务,白帽子的现金及奖品鼓励由补天平台承担,厂商不需要承担任何费用即可享受该服务,白帽子可查看漏洞标题以及漏洞类型的模式。

私有SRC模式:

私有SRC模式,厂商可以根据自身实际情况自定义漏洞级别(包括高危、中危、低危)及各级别对应的悬赏价格,向平台上所有的白帽子公开征集漏洞,并支付悬赏费用,漏洞信息(包括标题和漏洞描述)均不公开。

因此,私有SRC模式是一种更能展示厂商对于网站安全的重视和对白帽子劳动成果的尊重的安全服务模式,漏洞信息更私密,同时也是一种更高效,更具有自主性的SRC模式。

补天私有SRC漏洞价格标准(建议)—— 企业安全

漏洞级别 漏洞定义
建议价格
低档 中档 高档
低危 1)PC 客户端及移动客户端本地拒绝服务漏洞。包括但不限于组件权限导致的本地拒绝服务漏洞。

2)越权访问。包括但不限于绕过登陆验证访问敏感功能

3)难以利用但又可能存在安全隐患的问题。包括但不限于可能引起传播和利用的 Self-XSS以及非重要敏感操作的 CSRF

4)导致移动app客户端拒绝服务的漏洞(不含Android系统漏洞),利用该漏洞可以直接结束移动客户端进程。漏洞利用场景包括但不仅限于跨应用调用、远程浏览网页等本地或远程利用方法。
50-100 50-100 100-200
中危 1)需交互才能获取用户身份信息的漏洞。包括但不限于反射型 XSS(包括反射型 DOM-XSS)、JSON Hijacking、重要敏感操作的 CSRF、普通业务的存储型 XSS。

2)远程应用拒绝服务漏洞、产品本地应用拒绝服务漏洞、敏感信息泄露、内核拒绝服务漏洞、可获取敏感信息或者执行敏感操作的客户端产品的 XSS 漏洞。

3)导致移动app客户端敏感信息泄露的漏洞(不含Android系统漏洞),漏洞场景包括但不仅限于调试信息,逻辑漏洞,功能访问等导致的信息泄露。敏感信息包括但不仅限于用户名、密码、密钥、手机串号等移动客户端产品自身重要数据和隐私信息。

4)越权访问,包括但不限于绕过限制修改用户资料、执行用户操作,参与不在有效时间范围内的活动业务,及参与自身条件受限的活动业务。

5) 重要信息的泄露,包含但不限于加密密钥串泄露,其他业务系统账户信息的泄露。

6)直接获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、浏览器 use after free 漏洞、远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行漏洞。
100-1000 100-1000 200-2000
高危 1) 直接获取权限的漏洞(服务器权限、移动app客户端权限)。包括但不限于远程任意命令执行、可利用远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、可利用浏览器 use after free 漏洞、可利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞、可任意命令执行、可上传webshell、可任意代码执行

2)直接导致严重的信息泄漏漏洞。包括但不限于重要 DB 的 SQL 注入漏洞、重要业务的重点页面的存储型 XSS 漏洞 3) 直接导致严重影响的逻辑漏洞。包括但不限于任意帐号密码更改漏洞.

4) 移动客户端app产品的自身开发功能的漏洞(不含Android系统漏洞).以远程方式获取移动客户端权限执行任意命令和代码,漏洞场景包括但不仅限于远程端口连接、浏览网页和关联文件打开等远程利用方式。

5)越权访问。包括但不限于绕过认证访问管理后台、后台登录弱口令、修改任意用户密码

6)高风险的信息泄漏漏洞。包括但不限于源代码压缩包泄漏

7)客户软件本地任意代码执行。包括但不限于本地可利用的堆栈溢出、UAF、double free、format string、本地提权、文件关联的 DLL 劫持(不包括加载不存在的 DLL 文件及加载正常 DLL 未校验合法性)以及客户端产品的远程 DoS 漏洞、其它逻辑问题导致的本地代码执行漏洞

8)直接获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、浏览器 use after free 漏洞、远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行漏洞

9)属于移动app客户端产品的自身开发功能的漏洞(不含Android系统漏洞),第三方应用可以跨应用调用移动客户端产品的功能完成一些高危操作,包括但不仅限于文件读写,短信读写,客户端自身数据读写等。
1000-2000 1000-3000 2000-5000
微信二维码