漏洞奖励计划

漏洞定义

通用漏洞:第三方软件,应用,系统对应的漏洞。如ECShop、Discuz、PHPCMS的SQL注入,XSS漏洞。开源软件,安全浏览器,手机应用,路由器,开发框架,甚至是某VPN系统某防火墙系统的漏洞。
事件漏洞:即非通用型漏洞,主要是指互联网上应用的一个具体漏洞,xx网站命令执行可被渗透,xx电商订单泄漏任意充值,xx网站应用SQL注入可导致信息泄露等等

漏洞提交流程

1) 提交漏洞,补天安全专家看到漏洞详情后给出合理估价。
2) 对白帽子提交的漏洞详细进行验证并初步确认奖励,如果没有通过则本次漏洞提交过程结束。
3) 通知厂商:补天官方第一时间通知相关厂商和国家漏洞库等。
4) 定价:支付kb奖励(如果无法联系厂商但危害大的漏洞我们会坚持给出定价,但如果厂商表示已通报过或者积极拒绝修复,我们可能不会定价)。
5) 打款:补天官方向白帽子支付奖金(定价后一周内支付奖金)。
6) 结束:本次漏洞提交过程结束。

漏洞奖励

漏洞奖励主要分为现金奖励,KB奖励和荣誉奖励。
1) 现金奖励,根据是前面几轮评估的结果,体现的是直接的给予现金。   具体参考漏洞验收标准里的奖金标准。
2) KB奖励,根据是前面几轮评估的结果,奖励可以兑换礼品的KB
3) 荣誉奖励,我们给予rank奖励以及榜单公示、积分排行。
4) 漏洞奖励为奖金或者KB单一奖励。
榜单公示,我们本着自愿原则,会严格遵从白帽子的个人意愿,是否公开自己的ID信息。(评分为1分将只奖励kb没有积分奖励,2分及以上奖励和kb相对应的rank)

白帽子信誉度

补天平台实行白帽子信誉度机制,每位白帽子的信誉值总计为50,对于不经思考提交,一洞多投,抄袭或转载的,一个漏洞,我们会将会对相应白帽子扣除5信誉值,私有SRC扣除10信誉值,多次累积扣除,当信誉值低于或等于30时,平台会对该为白帽子进行封号处理。
其他情况:如辱骂审核和工作人员等,将严厉处罚。多次占坑行为,且不听劝告。

漏洞风险类型:

我们关注的漏洞类型,包括(如有未涉及,且危害严重的漏洞类型,欢迎提供补充):
1. XSS。 2. SQL注入漏洞。 3. 命令执行。 4. 代码执行。 5. 文件包含。 6. 任意文件操作。 7. 权限绕过。 8. 逻辑漏洞。 9. 信息泄露。 10.存在后门。

漏洞等级:

分为三个等级:高危、中危、低危。
高危:
1)直接获取服务器权限的漏洞。包括但不限于任意命令执行、上传webshell、任意代码执行。
2)直接导致严重的信息泄漏漏洞。包括但不限于重要DB的SQL注入漏洞。
3)直接导致严重影响的逻辑漏洞。包括但不限于任意帐号密码更改漏洞。
4)能直接盗取用户身份信息的漏洞。包括但不限于SQL注入。
5)越权访问。包括但不限于绕过认证访问后台。
中危:
1)需交互才能获取用户身份信息的漏洞。包括但不限于存储型XSS漏洞。
2)任意文件操作漏洞。包括但不限于任意文件读、写、删除、下载等操作。
3)越权访问。包括但不限于绕过限制修改用户资料、执行用户操作。
4)比较严重的信息泄漏漏洞。包含敏感信息文件泄露(如DB连接密码)。
低危:
1)普通逻辑漏洞。包括但不限于提交操作无限制导致数据库被爆漏洞。
2)需交互才能获取用户身份信息并且有一定利用难度的漏洞。包括但不限于反射型XSS。
以上评级根据实际情况进行调整。

事件漏洞奖励:

1.厂商相对较小
    低危:1-3分 (后台弱口令,存储XSS,存在后门,通用性漏洞如st2等)
    中危:2-5分 (敏感信息泄露,越权,sql注入等)
    高危:4-20分或¥100-¥200(漏洞打包,sql注入能获取大量重要数据,可getshell,内网渗透)
    思路比较新颖,内网漫游或者漏洞数量比较多打包的现金范围¥100-¥200
2.中大型厂商(电信、移动、联通三大运营商、高权重站点)
    低危:2-6分 (后台弱口令,sql注入无数据等)
    中危:3-12分(敏感信息泄露,存储XSS,越权,sql注入,通用性漏洞如st2等)
    高危: 6-25分或¥100-¥1000(sql注入能获取重要数据,可getshell,多个漏洞打包提交,内网渗透,大数据信息泄露)
    思路比较新颖,高危漏洞现金奖励范围¥100-¥1000
3.大厂商(bat3、新浪、网易、搜狐、迅雷、金山、盛大、人人网、携程等互联网巨头)
    低危:3-10分 (后台弱口令,XSS,跳转)
    中危:10-30分或¥100-¥500 (敏感信息泄露,越权,sql注入,通用性漏洞如st2等)
    高危:¥100-¥2000(sql注入能获取重要数据,可getshell,多个漏洞打包提交,内网渗透,大数据信息泄露)
    思路比较新颖,中危高危给现金,中危¥100-¥500,高危¥100-¥2000元不等。

数据的敏感度:
普通数据定义:帐号,密码,个人邮箱等
敏感数据定义:姓名,手机号,电话,证件照,开房记录,聊天记录,家庭住址,联系人其他信息等
非常敏感数据定义:身份证,金融数据,工作邮箱,直接获得的服务器认证数据等

数据的影响范围:

应用类型
普通数据 敏感数据 非常敏感数据 奖励
<100(w) <50(w) 根据实际情况确定 KB奖励
100(w)~300(w) <100(w) 100(元)~200(元)
300(w)~1000(w) 100(w)~500(w) 200(元)~500(元)
>1000(w) >500(w) 500(元)~1000(元)
单凭数据量无法准确认定危害,我们会根据实际危害和厂商大小做适度的调整。

4.我们忽略的:
    小型的个人站点或者没人维护的小企业站
    小企业或者学校政府站点的反射型xss
    提交与补天平台和其他漏洞平台的重复或者网上已流传公开
    存在注入但是不能获取任何数据的学校站及政府站     没有链接、截图、利用方法等漏洞详情不详细的漏洞我们予以忽略
    可以确认厂商但不填写具体厂商或者不经思考提交漏洞的我们予以忽略

注:我们鼓励白帽子挖原创漏洞,但是不鼓励刷同类型同思路的漏洞,如果有同类型的漏洞可以提交到通用型,如果同思路的漏洞请打包提交。如若多次提交相同类型或者思路的漏洞,往后每多投一枚奖金降低100-200元,积分降低2-3分,直至降到1分。

通用漏洞奖励:

应用类型 具体应用(不断更新) 高危 中危 低危
重点应用 安装量超过1000万的PC软件,移动客户端软件,如腾讯QQ客户端,Windows 7、IE浏览器;ECShop、Discuz!(PHP)、PHPWIND ¥3000-10000 ¥800-3000 ¥200-800
小众厂商 广州骅阜计算机软件有限公司、国家数字化学习资源中心、桃源网盘、北京网达信联科技发展有限公司、卓越课程中心、PHPVOD、政府信息公开平台系统、新竹縣網頁寶典、ZCMS、oyayacms、seacms、tomocms、 明腾CMS、interCMS、shuguang cms ¥300-500 10kb-¥300 3-10kb

1) 以上奖励方案限于获取核心数据对系统造成严重影响的高危漏洞,我们会严格按照漏洞等级划分对白帽子提交的漏洞进行危险等级评估。
2) 对于网上已知漏洞的二次利用(如phpcms上传截断,espcms算法解密),或官方漏洞补丁的bypass,我们会在综合评估后给出奖励。
3) 对于漏洞分析有技术亮点的可以考虑加价。
4) 对于一般应用,无法下载到源代码且没有官方演示站的,请至少提供10个以上的案例。
5) 对于不同文件的同一参数,不同目录下的同一文件,同一目录下的相似文件,或者同一类型漏洞,我们会选择性做合并处理。
注:我们重点关注社区、论坛型(用户量大)建站系统的跨站脚本攻击漏洞(其中,XSS会根据具体情况对危害级别作调整)。 对门户型(用户量小)的建站系统的XSS,我们有权降低价格或不收集。另外,基于后台登陆的漏洞,我们一般不考虑。

小众厂商奖励方案:

小众厂商定义:
    1.非建站公司网站漏洞。
    2.某个web建站系统,但是用户量很小(用户量500以下)。
    3.小众厂商漏洞请提供10个以上网站案例,对于用户量低于200,我们将不关注。

小众厂商奖励:
    1.漏洞合集或者漏洞打包提交(中高危漏洞不少于3个) ¥300 - ¥1000。
    2.高危漏洞 ¥100-¥300,中危漏洞 ¥100 -¥200。
    注:考虑到有些企业建站公司漏洞确实影响太小,且通知厂商很难得到修复,已不再收集。

厂商悬赏奖励:

厂商悬赏奖励是由厂商入驻平台自定义漏洞级别以及悬赏区间,具体可见厂商的展示页面中点击 查看漏洞定义

不关注的系统和漏洞:

有些系统漏洞过多,我们积极通知厂商但是一直没有回应和修复,我们后续会忽略该系统漏洞。技术支持类建站系统不再关注,cms一年以上未更新的按用户使用量酌情收取漏洞。目前不关注的系统或厂商有:PHPB2B、LebiShop、IWebSNS、灾害监测预警系统(福建四创软件)、启明星工作室、南京苏亚星、shlcms、广东东方思维(高速交通系统)、南京南软科技、山西华兴科软有限公司、北京翔宇领翔软件有限公司、北京清大新洋科技有限公司、北京金和网络股份有限公司、上海复尧计算机科技有限公司、江苏汇文软件有限公司、北京普诺迪、上海甲鼎信息技术有限公司、武汉英福软件有限公司、徐州市华网信息科技有限公司、喜阅传媒(xplus)、深圳市汉码软件技术有限公司、北京新启科技、方正软件、山东农友软件公司、北京创讯未来软件技术有限公司、深圳市昂捷信息技术有限公司、深圳市盛世桃源网络科技有限公司、杭州珍诚网络科技有限公司、weiphp、上海安脉计算机科技有限公司、青果软件、北京金盘鹏图软件技术有限公司、万户网络、MYMPS、同方知网(北京)、成都星锐蓝海网络科技有限公司、畅想之星、中国建筑科学研究院建研科技股份有限公司、璐华科技、广东东方思维、华平信息技术股份有限公司、珠海新华通软件股份有限公司、易创思(ECS)、PHPAPP、浪潮齐鲁软件产业股份有限公司、zzcms、深圳市科图自动化新技术应用公司、成都金窗软件开发公司、广州市颖峰信息科技有限公司、南京杰诺瀚软件、上海万欣计算机科技有限公司、福建四创软件有限公司、卓越课程中心、easytalk、上海双杨科技、杭州麦达电子有限公司、南京冠邦网络技术有限公司、Dswjcms、PHPSHE、北京浩天奥博OA、海天OA移动办公软件、北京网达信联科技发展有限公司、MvMmall多用户商城系统、北京中农信达信息技术有限公司、珠海中新信息科技有限公司、08cms、上海天柏信息科技有限公司、南京先极科技有限公司、安徽中鑫云软件有限公司、强智科技、BEESCMS、浙江浙大万朋软件有限公司、微商专家管理系统、通达、B2Bbuilder、SiteEngine、灵石科技、JDMAIL、湖北华秦教育软件技术有限公司、成都益用科技有限公司、湖南联羿科技有限公司、南京擎天科技、升腾软件、正方教务系统、济南有鸿通信技术有限公司、成都易科士、南京苏亚星资讯科技开发有限公司、phpmywind、西安必特思维软件有限公司、北京联杰海天科技有限公司、上海财大科发有限公司、贷齐乐、五指CMS、Hitechvalley i Net、单点科技、JeeCms、NITC、TurboMail、江苏中威科技有限公司、上海网务网络信息有限公司、泛微OA、江苏国泰新点软件有限公司、酷睿网络、北京网达信联、无锡新座标教育技术有限公司、IMCART、北京翰博尔信息技术有限公司、江苏连邦信息、QiBoCMS、瑞合信网络科技、管家婆、金和协同管理系统、厦门得推网络科技、上海序程信息科技有限公司、IBOS、西安三才科技实业有限公司、深圳标驰信息、致翔软件、福建闽教电脑多媒体有限公司、济南世纪华锐科技有限公司、北京爱迪科森教育科技股份有限公司、武汉弘智科技有限公司、郑州卡卡罗特软件科技有限公司、浙江大华技术股份有限公司、CRP校园管理系统、magicmail、广州名将软件、郑州信源信息技术股份有限公司、中新金桥、掌易科技、杭州亿迪安网络技术开发有限公司、唐桥科技有限公司、kppw、magicwinmail、北京合正软件有限公司、乐聘猎头软件、深圳市新为软件有限公司、吉大正元信息技术股份有限公司、Semcms、上海鼎创信息科技有限公司、北京世纪罗盘电子商务有限公司、深圳市创优网络技术有限公司、北京菲斯特诺科技有限公司、北京云比特数字技术有限公司、乐尚商城、微擎、网趣商城、北京天生创想信息技术有限公司、深圳太极软件有限公司、yxcms、中通软科技、极限OA、北京中科恒业科技有限公司、稻壳企业建站系统、pigcms、浙江联众智慧科技股份有限公司、青岛信软科技有限公司、TPshop、海洋cms、javashop、北京极限通科技有限公司、安徽汇能信息、迪创科技有限公司、北京菲斯特诺、懒人工作通、北京宏景世纪软件股份有限公司、CuuMall、重庆光大网络公司、Eduwind、宜锐信息技术有限公司、北京高百特科技有限公司、北京东方中原教育科技有限公司、石家庄创捷电子科技、rockoa、远航cms、ask2问答系统、广州市中大东日技术教育有限公司、Yourphp、366ec、江苏鸿信系统集成有限公司、ECMALL、北京勤云科技发展有限公司、广东东方思维科技有限公司、shop7z、北京乐知行软件有限公司、成都西辰软件有限公司、新势力网络、江苏连邦信息技术有限公司、工作易人才招聘系统、科瑞OA、深圳太极软件、信融科技、cncert国家互联网应急中心、山东浪潮齐鲁软件产业股份有限公司、mailgard webmail、dbshop、邯郸连邦软件、Kesion、上海格尔软件股份有限公司、上海复旦天翼计算机有限公司、opensns、必智、道派网络

微信二维码