通用軟件漏洞情報收集及獎勵標準
為了更好地保障云上用戶的安全,提升安全防御能力,阿里云盾(先知)專門制定了《供應鏈軟件漏洞情報獎勵計劃》,以提供獎勵的方式鼓勵白帽子遵循負責任的漏洞披露機制,向我們提供供應鏈軟件的安全漏洞情報信息。
云盾先知確認漏洞后,將按照流程向您提供現金獎勵和榮譽獎勵,同時在遵守中國相關法律的情況下將漏洞反饋給軟件開發者公司,并向受到影響的合作伙伴共享漏洞情報信息。如果您發現供應鏈軟件的漏洞,歡迎您向我們提交,我們會及時響應處理。
2020-04-01起該計劃暫停收集。
漏洞定義
攻擊者通過操縱某些數據,使得程序偏離設計者的邏輯,進而引發的安全問題。先知計劃漏洞平臺主要收集應用軟件和建站系統程序漏洞。
漏洞名稱
白帽子自定義漏洞名稱,盡量包含漏洞關鍵字等信息。
如:PHPTEST v1.0.0前臺無限制GetShell。
收集的漏洞類型
我們關注的漏洞類型,包括: XSS跨站、SQL注入、XXE、命令執行、文件包含、任意文件操作、權限繞過、存在后門、文件上傳、邏輯漏洞、棧溢出、堆溢出、內存破壞、整數溢出、釋放后重用、類型混淆、沙盒繞過、本地提權、拒絕服務、CRLF注入、SSRF、點擊劫持、時間競爭漏洞、敏感信息泄露等。
漏洞收集范圍
我們關注當前應用廣泛的互聯網應用軟件類及第三方建站系統程序,具體如下:
廠商類型 | 應用名 | 官網地址 |
A類廠商 | phpMyAdmin | https://www.phpmyadmin.net/ |
A類廠商 | DedeCMS | http://www.dedecms.com |
A類廠商 | Discuz! | http://www.discuz.net |
A類廠商 | ECShop | http://yunqi.shopex.cn/products/ecshop |
A類廠商 | CKEditor(FCKEditor) | https://ckeditor.com/ |
A類廠商 | Wordpress | https://zh-cn.wordpress.com/ |
A類廠商 | Django | https://www.djangoproject.com/ |
A類廠商 | WebX | http://www.openwebx.org/ |
A類廠商 | Fastjson | https://github.com/alibaba/fastjson |
A類廠商 | Struts2 | https://struts.apache.org/ |
A類廠商 | Spring Framework | https://projects.spring.io/spring-framework/ |
A類廠商 | Spring Boot | https://projects.spring.io/spring-boot/ |
B類廠商 | ThinkPHP | http://www.thinkphp.cn/ |
B類廠商 | phpCMS | http://www.phpcms.cn/ |
B類廠商 | PHPWind | https://www.phpwind.com/ |
B類廠商 | Flask | https://github.com/pallets/flask |
B類廠商 | Drupal | https://www.drupal.org/ |
B類廠商 | Joomla | https://www.joomla.org/ |
B類廠商 | Yii | https://www.yiiframework.com/ |
B類廠商 | CodeIgniter | https://codeigniter.com/ |
B類廠商 | ZenTaoPMS(禪道項目管理) | http://www.zentao.net/ |
B類廠商 | Empire CMS(帝國CMS) | http://www.phome.net/ |
B類廠商 | Tornado | http://www.tornadoweb.org/ |
B類廠商 | GitLab | https://gitlab.com |
B類廠商 | Jenkins | https://jenkins.io/ |
B類廠商 | Redmine | https://www.redmine.org/ |
B類廠商 | ElasticSearch | https://www.elastic.co/cn/ |
B類廠商 | Openfire | https://www.igniterealtime.org/projects/openfire/ |
B類廠商 | Atlassian Jira | https://www.atlassian.com/software/jira |
B類廠商 | Solr | http://lucene.apache.org/solr/ |
B類廠商 | Zabbix | https://www.zabbix.com/ |
B類廠商 | WildFly | http://wildfly.org/ |
B類廠商 | Magento | https://magento.com/ |
B類廠商 | Atlassian Confluence | https://www.atlassian.com/software/confluence |
B類廠商 | Kibana | https://www.elastic.co/products/kibana |
B類廠商 | DokuWiki | https://www.dokuwiki.org/dokuwiki |
B類廠商 | MediaWiki | https://www.mediawiki.org/ |
B類廠商 | cPanel | https://cpanel.com/ |
B類廠商 | httpFileServer(HFS) | http://www.rejetto.com/hfs/ |
B類廠商 | CoreMail | http://www.coremail.cn/ |
B類廠商 | Apache Hadoop | http://hadoop.apache.org/ |
C類廠商 | Laravel | https://laravel.com/ |
C類廠商 | XAMPP | https://www.apachefriends.org/zh_cn/index.html |
C類廠商 | ownCloud | https://owncloud.org/ |
C類廠商 | ShopEx | http://www.shopex.cn/ |
C類廠商 | OpenCart | https://github.com/opencart/opencart |
C類廠商 | ThinkSNS | http://thinksns.com/ |
C類廠商 | Typecho | http://typecho.org/ |
C類廠商 | 拓爾思(TRS WCM) | http://www.trs.com.cn/ |
C類廠商 | 萬戶ezOFFICE | http://www.whir.net/cn/cpzx/index_2.html |
C類廠商 | 深信服-VPN | http://www.sangfor.com.cn/product/net-safe-ssl.html |
C類廠商 | 金蝶OA | http://www.kingdee.com/solutions/field/oa |
C類廠商 | 致遠OA | http://www.seeyon.com/ |
C類廠商 | 泛微OA Office | http://www.weaver.com.cn/ |
C類廠商 | Sentry | https://sentry.io/ |
C類廠商 | phpBB | https://www.phpbb.com/ |
C類廠商 | CMSTOP | http://www.cmstop.com/ |
C類廠商 | Piwik | https://matomo.org |
C類廠商 | F5-BIGipServer | https://f5.com/products/big-ip |
C類廠商 | RoundCube | https://roundcube.net/ |
C類廠商 | Cacti | https://www.cacti.net/ |
C類廠商 | WDCP 主機管理系統 | http://www.wdlinux.cn/ |
C類廠商 | Hudson | http://jenkins-ci.org/ |
C類廠商 | TurboMail | http://www.turbomail.org/ |
C類廠商 | 億郵 | http://www.eyou.net/ |
C類廠商 | Zimbra | https://www.zimbra.com/ |
C類廠商 | live800 | https://www.live800.com/ |
C類廠商 | HDwiki | http://kaiyuan.hudong.com/ |
C類廠商 | Webmin | http://www.webmin.com/ |
C類廠商 | vBulletin | https://www.vbulletin.com/ |
C類廠商 | MyBB | https://github.com/mybb |
C類廠商 | SquirrelMail | https://squirrelmail.org/ |
C類廠商 | AMH 云主機面板 | http://amh.sh/ |
C類廠商 | ActiveMQ | http://activemq.apache.org/ |
D類廠商 | 74cms | http://www.74cms.com/ |
D類廠商 | 齊博CMS | http://www.qibosoft.com/ |
D類廠商 | HiShop | http://www.hishop.com.cn/ |
D類廠商 | SiteServer CMS | http://www.siteserver.cn/ |
D類廠商 | Odoo | https://www.odoo.com/zh_CN/ |
D類廠商 | PHP168 | http://www.php168.net/ |
D類廠商 | B2Bbuilder | http://www.b2b-builder.com/ |
D類廠商 | Gogs | https://gogs.io/ |
F類廠商 | 通達OA | https://www.tongda2000.com/ |
F類廠商 | PbootCMS | http://www.asp4cms.com/ |
F類廠商 | Destoon | https://www.destoon.com/ |
F類廠商 | MetInfo | https://www.metinfo.cn/ |
F類廠商 | Z-Blog | https://www.zblogcn.com/ |
F類廠商 | KesionCMS | http://www.kesion.com/aspb/ |
F類廠商 | 微擎 | https://www.we7.cc/ |
F類廠商 | emlog | http://www.emlog.net/ |
F類廠商 | 主機寶 | http://z.admin5.com |
如無特殊標注,漏洞收集的范圍是上表中應用程序的最新版本。最新版本信息,可在應用程序的官網查看。
評分規則
為解決漏洞評級混亂問題,美國基礎設施顧問委員會(NIAC)提出了CVSS公開標準,由FIRST組織進行維護,它被用來評價漏洞的嚴重與緊急程度。
基礎分類型 | 基礎分值名 | 基礎分值數 |
攻擊方式(AV) |
|
|
攻擊復雜度(AC) |
|
|
權限要求(PR) |
|
|
用戶交互(UI) |
|
|
|
|
|
影響范圍(S) |
| 互聯網中受影響實例的個數。 |
影響范圍權重最高,能夠客觀檢驗一個漏洞在互聯網上的影響程度。
得分算法
根據以上得分,漏洞得分劃分為:
嚴重(9.6~10.0)
高危(7.0~9.5)
中危(4.0~6.9)
低危(0.1~3.9)
無效(0.0)
對應的獎勵范圍
廠商類型 | 嚴重漏洞獎勵范圍 | 高危漏洞獎勵范圍 | 中危漏洞獎勵范圍 | 低危漏洞獎勵范圍 |
A類廠商 | 獎金:50000~500000元 積分:150 | 獎金:20000~50000元 積分:120 | 獎金:4000~15000元 積分:60 | 獎金:500~1000元 積分:30 |
B類廠商 | 獎金:20000~50000元 積分:120 | 獎金:6000~15000元 積分:100 | 獎金:1500~3000元 積分:50 | 獎金:300~500元 積分:20 |
C類廠商 | 獎金:10000~15000元 積分:120 | 獎金:3000~6000元 積分:60 | 獎金:800~1500元 積分:30 | 獎金:200~300元 積分:15 |
D類廠商 | 獎金:2000~3000元 積分:120 | 獎金:1000~2000元 積分:40 | 獎金:500~800元 積分:20 | 獎金:100~200元 積分:10 |
F類廠商 | 獎金:1000~2000元 積分:120 | 獎金:600~1000元 積分:40 | 獎金:400~600元 積分:20 | 獎金:50~150元 積分:10 |
暫不在漏洞收集范疇的類型
A、B類廠商以外的XSS漏洞一概不在收取范圍。
A、B類廠商不收取反射XSS漏洞,SELF-XSS漏洞。
事件型漏洞(如xx廠商的某cms,存在官方接口安全問題,接口在官方服務器上)。
其他影響十分有限的漏洞。
漏洞降級
漏洞利用過程中需要涉及非普通用戶權限,或在滿足一定條件下才能觸發的漏洞,將會酌情降級或降低獎勵。
后臺漏洞目前只收取getshell(OA類、協作類產品的普通用戶控制臺算作后臺),漏洞會降級低危處理。
廠商降級
當針對某個廠商收取的高危漏洞數大于30個(未修復狀態池),且廠商官方再無能力修復漏洞時,將對廠商進行降級或下線處理,同時暫停收取漏洞。
付款條件和限制
獎勵標準僅適用于列表中的廠商,列表外的廠商,我們將根據廠商應用流行程度和漏洞影響范圍,酌情給予獎勵;
同一漏洞多位白帽子在先知平臺提交,以時間先后順序只獎勵首位提交者;
官方無開源代碼并且無測試Demo的漏洞,需要提供至少5個互聯網以實例證明危害;
同一個漏洞源產生的多個漏洞計漏洞數量為一。例如:同一功能模塊下的不同接口,同一文件的不同參數、同一參數出現在不同文件、同一文件在不同目錄、同一漏洞的不同利用方式、不同版本的同一漏洞、同一函數導致漏洞等;
可以通過修復一個點使得后續利用均不可行的情況,后續漏洞提交均視為重復漏洞。
說明如多個接口程序中都用到了同一個全局函數進行數據處理,這個全局數據處理函數被利用導致了漏洞形成,則所有此類漏洞均視為同一漏洞。
在先知平臺通知第三方廠商修復漏洞之前,漏洞在互聯網上被公開不給予獎勵;
報告網上已公開的漏洞不給予獎勵;
同一漏洞重復提交至其他第三方漏洞平臺,先知平臺有權不給予獎勵;
在漏洞處理的任何階段發現漏洞重復或被公開,先知平臺都有權駁回漏洞并取消獎勵;對于惡意提交重復漏洞騙取獎勵的行為,會給予警告乃至封號處理。
漏洞提交報告要求
為了能夠對每個漏洞進行客觀評估,兼顧廠商對漏洞的實際影響判斷,建議白帽子依據CVSS 3.0標準,補充如下關鍵信息,從而避免審核過程中造成的偏頗。
提交漏洞時,如果廠商列表中未找到要提交的廠商名,請選擇其他。
利用方式:遠程/本地/物理
用戶交互:不需要登錄/需登錄/需登錄(開放注冊)
權限要求:普通用戶/功能管理員/系統管理員
利用接口:
http://example.com/XXXXXid=100&xxxxx漏洞利用點參數:利用接口URL中的id
漏洞證明:
SQL注入漏洞:請補充注入利用證明,包括數據庫的
user()或version()或database()的輸出結果,建議提供截圖。命令執行漏洞:請補充命令執行利用證明,運行命令
whoami輸出的結果,建議提供截圖。
注意事項
惡意報告者將作封號處理。
報告無關問題的將不予答復。
阿里巴巴集團員工不得參與或通過朋友參與漏洞獎勵計劃。
獎勵計劃僅適用于通過先知平臺報告漏洞的用戶。