当前位置: 补天漏洞响应平台 >> FAQ

我是厂商:

1、什么是SRC?公有SRC和私有SRC的区别是什么?

SRC的全称是Security Response Center,安全应急响应中心,是厂商与白帽子之间交流与学习的平台。

公有SRC模式是厂商通过补天平台享受系统漏洞测试服务,白帽子的现金及奖品鼓励由补天平台承担,厂商系统漏洞信息(不含漏洞细节,只有标题描述)在补天平台公开展示,所有注册人员均可查看漏洞标题以及漏洞类型的模式。厂商注册即默认加入公有SRC

私有SRC模式下,厂商可以自定义漏洞级别及各级别对应的悬赏价格,向平台上所有的白帽子公开征集漏洞,并支付悬赏费用,所有漏洞信息不公开。

可以说,私有SRC模式更能展示厂商对于网站安全的重视和对白帽子劳动成果的尊重,漏洞信息更私密,同时也是一种更高效,更具有自主性的SRC模式。

2、公有SRC模式下,补天是否会向公众公开漏洞详情?

补天平台为了保护广大厂商的利益,防止漏洞被恶意黑客二次利用,平台不会向公众公开漏洞细节,只有标题描述。漏洞细节可以在注册成为厂商账号后,在后台查看。

3、如何建立私有SRC

厂商完成注册并通过厂商身份验证后,在厂商主页修改奖励模式,将漏洞奖金以预付的形式转账给平台,开通私有SRC服务。在私有SRC模式下,企业自行制定奖励计划,区分漏洞等级,按等级浮动定价,由平台统一代发奖金。预付费消费完且没有续费的情况下,将会自动转为公有SRC4、补天平台收费吗?

补天平台自身不收取任何费用。厂商用于收集漏洞的全部奖金归白帽子所有。厂商可以随时增值或者申请取出预付费中的余额。

5、在注册成为私有SRC模式后,原先平台上的漏洞会被隐藏吗?

不会。公有SRC模式下提交的漏洞,知识产权都属于补天漏洞平台所有,标题描述会保持公开。在厂商建立私有SRC之后发现的漏洞,知识产权转移到厂商名下,发现的漏洞信息才会设为不公开。

同样,如果由私有转变为公有SRC,原先私有SRC中的漏洞信息仍保持不公开。

6、漏洞提交到平台后,有无限制厂商在规定时间内必须修复?

没有时间限制。但是发现漏洞就意味着网站已经面临一定的安全风险,我们建议厂商可以尽快修复漏洞以避免恶性后果的产生。为了保护厂商,补天平台不会将漏洞详情向公众公开,置企业于安全威胁之中。

7、企业和白帽子就漏洞的危害等级和奖励分配之间产生分歧,如何解决?

当双方出现分歧时,平台会客观地根据漏洞的级别,利用的技术难度、造成的影响等因素进行综合考虑,分成不同的层次,做最终裁定,决定悬赏奖励。

8、如何验证厂商和白帽子身份?

厂商注册需要提供企业邮箱进行验证,并且在后台验证网站所有权。

白帽子注册需要提供姓名,邮箱,手机,住址和银行账号信息。

9、如果注册的白帽子利用漏洞从事非法活动怎么办?

如果有证据充分证明平台上的白帽子利用其发现的漏洞从事非法活动,我们会全力配合警方的工作,保护厂商的权益。

 

 

我是白帽子:

1. 什么是补天漏洞响应平台?

补天漏洞响应平台是专门处理第三方web应用漏洞等安全问题的快速响应组织。如果您发现第三方web应用的漏洞问题,欢迎您向我们报告漏洞信息,工作人员会第一时间跟进处理。对于您为提升公共网络安全做出的努力,补天漏洞响应平台将致以诚挚感谢。凡是经过本平台确认的漏洞,我们除了发布安全公告致谢外,还将为漏洞报告者提供相应的奖励。(详见漏洞奖励方案)

2. 关于收集漏洞信息的目的?

目前国内很多第三方应用的0day漏洞在外面流传,导致网站处在极端不安全状态。我们希望通过付费收集漏洞的方式,来收集并且推动开发商与安全厂商的升级,进而加速漏洞的修复,降低漏洞带来的风险,最终达到提升网站安全的目的。

3. 补天会如何使用提交的漏洞数据?

为了更加快速有效的防护,我们会第一时间加入360网站安全检测、网站卫士。同时也会根据需要共享给其他负责任的安全厂家,共同改善网站安全环境。

4. 关于我们接收漏洞的类型?

第三方web应用程序的漏洞(第三方web应用程序的定义,指为广大网站站长所使用的建站程序,如:DiscuzECShopShopEX等)。,

事件漏洞,可能对厂商或社会造成较大危害的漏洞。例如网站getshell,提权服务器,内网渗透,注入造成信息泄露等等。(具体详见漏洞奖励计划)

5. 对漏洞信息有相应的安全保护吗?

我们与漏洞提交者共同执行严格的漏洞发布协议,所有安全信息在按照流程处理完成之前绝不会对外公开。

6. 漏洞的处理过程是什么?

漏洞上报之后,由工作人员进行跟进对漏洞分析验证。核实确认漏洞信息后,会与相关厂商共同协商修复漏洞

7. 漏洞上报者如何知晓漏洞的处理过程?

请随时登入补天漏洞提交网站查询漏洞处理进展。

8. 如何支付奖励?

付款方式可以通过银行汇款等方式,可以选择最适合自己的一种方式付款。

9. 什么时候才能付款?

一般在确认漏洞后的20个工作日内。

10. 我可以提交多少漏洞?

对于漏洞数量没有限制。

11. 如果多位研究人员提交相同的漏洞信息,怎么办?

我们可能会收到多个白帽子提交相同的漏洞信息。如果发生这种情况,我们以第一位白帽子提供的信息为准。

12.如何检查我提交的漏洞是否重复?

可以到漏洞搜索栏,搜索关键的url,以及漏洞poc等信息,如果检索到相应信息即为重复。

13. 我提交内容后,多久会得到报价?

核实时间有所不同,通常是一周以内,具体取决于多种因素,比如目前等候处理的漏洞数量,核实过程的复杂程度以及获得并配置目标环境的难易程度。我们平均在两天内给予回复。

微信二维码