公告编号:2023030901作者:xysrc发布日期:2023/07/04
1. 提交漏洞的奖励包括贡献值奖励和金币奖励。
2. 贡献值由漏洞对应用的危害程度以及应用的重要程度决定,贡献值将用于荣誉奖励颁发及排名。详见贡献值积分对应表。
3. 金币由漏洞对应用的危害程度以及应用的重要程度决定,金币将用于礼品奖励兑换。详见金币奖励对应表。
4. 业务分级由XYSRC根据不同业务系统重要程度及与小赢科技的关联程度进行分级,不同重要等级的业务系统漏洞奖励会有不同。
等级业务 | 严重 | 高危 | 中危 | 低危 |
核心应用 | 100-160 | 40-100 | 16-30 | 2-10 |
非核心应用/测试环境 | 50-80 | 20-60 | 8-15 | 1-5 |
第三方应用 | 10-16 | 4-10 | 2-3 | 1-2 |
等级业务 | 严重 | 高危 | 中危 | 低危 |
核心应用 | 5000-8000 | 2000-5000 | 800-1500 | 100-500 |
非核心应用/测试环境 | 2500-4000 | 1000-1500 | 400-750 | 25-250 |
第三方应用 | 500-800 | 200-500 | 80-150 | 10-50 |
非常有价值漏洞或威胁情报额外加3000-30000金币奖励。 活动期间将额外赠送一定比例的金币。 | ||||
根据漏洞的危害程度将漏洞等级分为【严重】、【高】、【中】、【低】四个等级。由XYSRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的贡献值和漏洞定级,每种等级包含的评分标准及漏洞类型如下:
【严重】
1. 直接获取核心服务器权限和核心产品客户端权限的漏洞,包括但不限于上传Webshell、远程代码执行、缓冲区溢出、远程命令执行等;
2. 泄露大量核心业务敏感数据的漏洞,包括但不限于核心数据库的SQL注入、系统权限校验不严格导致的大量敏感数据泄露(如企业内部核心数据泄露)等;
3. 核心系统严重的逻辑设计或流程缺陷,包括但不限于任意用户登录、导致大量资金损失的支付系统逻辑漏洞、严重的越权操作等;
4. 严重影响核心系统可用性的漏洞,如可直接导致核心系统业务瘫痪的拒绝服务漏洞(如S2-020补丁绕过切换web目录可直接导致网站挂掉);
【高】
1. 直接获取重要业务服务器权限的漏洞。包括但不限于上传Webshell、远程代码执行、缓冲区溢出、远程命令执行等;
2. 泄露大量重要业务敏感数据的漏洞。包括但不限于重要数据库的SQL注入漏洞、系统权限校验不严格导致的重要敏感数据泄露;
3. 较严重的逻辑设计或流程缺陷。包括但不限于认证绕过、重要系统敏感越权操作、支付系统逻辑漏洞等;
【中】
1. 可造成安全风险的漏洞。包括但不限于存储型XSS、可获取Cookie或利用用户身份的反射型 XSS(包括反射型 DOM-XSS)、重要操作CSRF、敏感信息的JSONP劫持、普通的越权操作等;
2. 普通的逻辑设计和流程缺陷。包括但不限于营销活动限制绕过等;
3. 普通的信息泄漏漏洞。包括但不限于大量用户信息泄露、包含内部系统敏感信息的源码泄露,没有敏感信息的SQL注入等;
【低】
1. 危害较小的安全漏洞:反射型XSS、有危害的URL跳转、短信炸弹、邮箱轰炸、暴力破解等;
2. 轻微信息泄漏。包括但不限于phpinfo、非核心系统的svn信息泄露、.git文件泄露、本地日志泄露等;
漏洞级别 | 判定标准:与中华人民共和国的相关法律法规冲突 | 金币奖励 | 贡献值奖励 |
高危 | 1. 问题影响重大,与中华人民共和国国家相关法律法规严重冲突; 2. 行业内罕见问题,发现方式新颖需要一定技术深度才能发现。 | 2000-3000 | 40-60 |
中危 | 1. 问题影响较大,未及时修复可能导致用户投诉、监管机构通报等影响; 2. 问题属于监管机构已经明确的检查项目,需要一般技术手段可发现。 | 500-1000 | 10-20 |
低危 | 1.问题影响小,未及时修复可能产生的影响不明确; 一般情况下,该类问题不需要技术手段就可以发现。 | 100-300 | 2-6 |
注:提交所选择的漏洞类型->安全合规问题
1. 不涉及安全问题的Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性、复杂交互的URL重定向、账户枚举等问题;
2. 无利用价值或难以利用的问题。包括但不仅限于CSV注入、无敏感操作的CSRF(收藏、取消收藏、添加购物车、一般的资料修改等)、无意义的异常信息泄漏、无意义的源码泄漏、内网IP地址/域名泄漏、无敏感信息的越权访问;
3. 与小赢科技无关的漏洞。包括但不仅限于非小赢科技维护的合作方供应商系统的漏洞,如合作方提供的营销活动API;
4. 不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测、无法重现、未经验证、无意义的扫描报告的问题;
5. 任何无敏感信息的信息泄露,例如无敏感信息的jsonp劫持、无敏感信息的cors跨域配置错误、self类的XSS、仅有js、img等的打包文件、一般信息的logcat、包含内网ip/域名的页面等;
6. 已经有人提交过的重复漏洞或已知漏洞。
1. CSRF漏洞收取说明:CSRF仅收取重要敏感操作相关的(如添加超级管理员,转账等)。
2. SSRF漏洞收取说明:SSRF可达内部网络,无回显或部分回显评级不超过【中】。若不能访问内网且确实可造成信息泄露的,评级不超过【中】。
3. 子域接管漏洞收取说明:子域接管漏洞评级不超过【中】。
4. 文件操作类漏洞收取说明:任意文件读、写、删操作,按照实际危害以及影响范围进行评估。
5. 0day漏洞收取说明:在漏洞正式公开(POC公开或CVE编号公开)后的一个月内,相关漏洞不予收取。
6. 关于漏洞合并收取说明:
①同一个漏洞源产生的多个漏洞计漏洞数量为一。同一个 JS 引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个安全漏洞等。如发现此类问题,请统一提交到一个报告中,我们将适当升级或增加奖励,额外奖励不超过同等级最高奖励。
②对于同一接口的多个参数存在类似漏洞,将按照一个漏洞的规则收取,不同类型的将按危害程度最大的进行评定。
③不属于同一漏洞源,但属于同一系统的,利用手段相似的多个漏洞;或具有利用顺序关系的多个漏洞等情况。如:同一系统多接口存在SQL注入;弱口令进入系统后发现其他漏洞。我们鼓励白帽将多个问题打包提交,若白帽分多个报告提交,我们将适当提交奖励后合并收取,额外奖励不超过同等级最高奖励。
1. 评分标准仅适用于小赢科技产品和业务。
2. 对于测试范围内非小赢科技自身发布的产品和业务,如小赢科技的合作区业务,奖励将适当调整。
3. 各漏洞的等级以及奖励由漏洞实际危害性、漏洞利用难度及影响范围等综合因素决定,例如若漏洞触发条件非常苛刻或为测试环境漏洞,包括但不限于特定浏览器才可触发的XSS漏洞,则可跨等级调整奖励。
4. 对于重复收到的漏洞,默认只奖励首位提交的人员。
5. 以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,将不记贡献和奖励。
6. 未经小赢SRC书面同意,不允许对外披露任何漏洞信息。同时深圳市小赢信息技术有限责任公司保留采取进一步法律行动的权利。
1. 管理员将在收到漏洞后尽早审核漏洞,默认最晚在第二个工作日下班前完成审核或答复。若出现延迟审核的情况,请发邮(src@xiaoying.com)件给管理员提醒。
2. 兑换奖励后,我们最晚在次月初完成全部奖励的发放,也可能会提前发放。
3. 根据国家税务总局公告2018年第61号要求,加入如下实名流程:若一个月兑换的京东卡面额超过800元,管理员将会联系白帽子要求提交实名信息进行报税,否则无法发送奖励。实名信息必须为白帽子真实信息,包括(姓名、身份证号、手机号)。如果不想提交实名信息,那么只能每个月兑换最多800元京东卡。实名信息可用注册邮箱发邮件给src@xiaoying.com,标题注明(SRC实名信息),邮件内容包括(注册昵称、姓名、身份证号、手机号)。
在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过漏洞详情页面的留言板或者通过邮箱(src@xiaoying.com)联系在线工作人员及时沟通。 XYSRC将按照漏洞报告者利益优先的原则处理。
深圳市小赢信息技术有限责任公司