通用漏洞验收及奖励标准_相关协议_先知（安全众测）-阿里云

知识中心 | 2020-05-13 12:23:14

通用漏洞验收及奖励标准

更新时间：2020-05-01 22:57:59

★ 我的收藏

本页目录

通用软件漏洞情报收集及奖励标准

为了更好地保障云上用户的安全，提升安全防御能力，阿里云盾（先知）专门制定了《通用软件漏洞情报奖励计划》，以提供奖励的方式鼓励白帽子遵循负责任的漏洞披露机制，向我们提供通用软件的安全漏洞情报信息。

云盾先知确认漏洞后，将按照流程向您提供现金奖励和荣誉奖励，同时将漏洞向通用软件官方提交，并向受到影响的合作伙伴共享漏洞情报信息。如果您发现第三方通用软件的漏洞，欢迎您向我们提交，我们会第一时间响应处理。

漏洞定义

攻击者通过操纵某些数据，使得程序偏离设计者的逻辑，进而引发的安全问题。先知计划漏洞平台主要收集应用软件和建站系统程序漏洞。

漏洞名称

白帽子自定义漏洞名称，尽量包含漏洞关键字等信息。

如：PHPTEST v1.0.0前台无限制Getshell。

收集的漏洞类型

我们关注的漏洞类型，包括： XSS跨站、SQL注入、XXE、命令执行、文件包含、任意文件操作、权限绕过、存在后门、文件上传、逻辑漏洞、栈溢出、堆溢出、内存破坏、整数溢出、释放后重用、类型混淆、沙盒绕过、本地提权、拒绝服务、CRLF注入、SSRF、点击劫持、时间竞争漏洞、敏感信息泄露等。

短期活动

Outlook_mail，Anymacro_mail，Hanweb，WordPress，Weblogic，Jeecms，ThinkPHP，EasySite，Sangfor_Application，Springboot，Eyou_mail，Sangfor_firewall，CitrixNetScaler，DotNetNuke_cms，Array_vpn，蓝凌OA，Secworld_vpn，Jboss

如上相关的通用全部提升到A类，只收取RCE /SQL等前台漏洞，奖励丰厚！

漏洞收集范围

我们关注当前应用广泛的互联网应用软件类及第三方建站系统程序，具体如下：

厂商类型	应用名	官网地址
A类厂商	phpMyAdmin	https://www.phpmyadmin.net/
A类厂商	Discuz!	http://www.discuz.net
A类厂商	Wordpress	https://zh-cn.wordpress.com/
A类厂商	Django	https://www.djangoproject.com/
A类厂商	WebX	http://www.openwebx.org/
A类厂商	Fastjson	https://github.com/alibaba/fastjson
A类厂商	Weblogic	https://www.oracle.com/middleware/technologies/weblogic.html
A类厂商	ThinkPHP	http://www.thinkphp.cn/
A类厂商	Jetty	https://www.eclipse.org/jetty/
A类厂商	Tomcat	http://tomcat.apache.org/
A类厂商	Nginx	http://nginx.org/
A类厂商	GlassFish	https://javaee.github.io/glassfish/
A类厂商	Microsoft IIS	https://www.iis.net/
A类厂商	Jboss	http://www.jboss.org/
A类厂商	Struts2	https://struts.apache.org/
A类厂商	Spring Framework	https://projects.spring.io/spring-framework/
A类厂商	Spring Boot	https://projects.spring.io/spring-boot/
B类厂商	Cicso vpn	https://www.cisco.com
B类厂商	phpCMS	http://www.phpcms.cn/
B类厂商	PHPWind	https://www.phpwind.com/
B类厂商	Flask	https://github.com/pallets/flask
B类厂商	Drupal	https://www.drupal.org/
B类厂商	Ruby on Rails	https://github.com/rails/rails
B类厂商	Express	https://expressjs.com/
B类厂商	Gitea	https://github.com/go-gitea/gitea
B类厂商	Bitbucket	https://www.atlassian.com/software/bitbucket/download
B类厂商	Adminer	https://www.adminer.org/
B类厂商	phpMiniAdmin	https://github.com/osalabs/phpminiadmin
B类厂商	宝塔linux面板	https://www.bt.cn/
B类厂商	Hanweb	http://www.hanweb.com/
B类厂商	ZooKeeper	https://zookeeper.apache.org/
B类厂商	Yii	https://www.yiiframework.com/
B类厂商	CodeIgniter	https://codeigniter.com/
B类厂商	ZenTaoPMS（禅道项目管理）	http://www.zentao.net/
B类厂商	DedeCMS	http://www.dedecms.com
B类厂商	Tornado	http://www.tornadoweb.org/
B类厂商	GitLab	https://gitlab.com
B类厂商	Jenkins	https://jenkins.io/
B类厂商	Redmine	https://www.redmine.org/
B类厂商	ElasticSearch	https://www.elastic.co/cn/
B类厂商	Openfire	https://www.igniterealtime.org/projects/openfire/
B类厂商	Atlassian Jira	https://www.atlassian.com/software/jira
B类厂商	Solr	http://lucene.apache.org/solr/
B类厂商	Zabbix	https://www.zabbix.com/
B类厂商	WildFly	http://wildfly.org/
B类厂商	Atlassian Confluence	https://www.atlassian.com/software/confluence
B类厂商	Kibana	https://www.elastic.co/products/kibana
B类厂商	MediaWiki	https://www.mediawiki.org/
B类厂商	cPanel	https://cpanel.com/
B类厂商	httpFileServer（HFS）	http://www.rejetto.com/hfs/
B类厂商	CoreMail	http://www.coremail.cn/
B类厂商	Apache Hadoop	http://hadoop.apache.org/
B类厂商	ActiveMQ	http://activemq.apache.org/
B类厂商	Shiro	https://github.com/apache/shiro
B类厂商	Gogs	https://gogs.io/
B类厂商	Nexus Repository	https://www.sonatype.com/product-nexus-repository
B类厂商	ZooKeepe	https://zookeeper.apache.org/
B类厂商	Sentry	https://sentry.io/
B类厂商	CKEditor（FCKEditor）	https://ckeditor.com/
B类厂商	万户ezOFFICE	http://www.whir.net/cn/cpzx/index_2.html
B类厂商	Cacti	https://www.cacti.net/
B类厂商	Webmin	http://www.webmin.com/
B类厂商	Apereo CAS	https://github.com/apereo/cas
C类厂商	ECShop	http://yunqi.shopex.cn/products/ecshop
C类厂商	用友NC	http://nc.yonyou.com/
C类厂商	Laravel	https://laravel.com/
C类厂商	XAMPP	https://www.apachefriends.org/zh_cn/index.html
C类厂商	ownCloud	https://owncloud.org/
C类厂商	拓尔思（TRS WCM）	http://www.trs.com.cn/
C类厂商	Empire CMS（帝国CMS）	http://www.phome.net/
C类厂商	深信服-VPN	http://www.sangfor.com.cn/product/net-safe-ssl.html
C类厂商	金蝶OA	http://www.kingdee.com/solutions/field/oa
C类厂商	致远OA	http://www.seeyon.com/
C类厂商	泛微OA Office	http://www.weaver.com.cn/
C类厂商	nagios-xi	https://www.nagios.com/products/nagios-xi/
C类厂商	Joomla	https://www.joomla.org/
C类厂商	Piwik	https://matomo.org
C类厂商	F5-BIGipServer	https://f5.com/products/big-ip
C类厂商	RoundCube	https://roundcube.net/
C类厂商	WDCP 主机管理系统	http://www.wdlinux.cn/
C类厂商	Hudson	http://jenkins-ci.org/
C类厂商	TurboMail	http://www.turbomail.org/
C类厂商	亿邮	http://www.eyou.net/
C类厂商	Zimbra	https://www.zimbra.com/
C类厂商	Apache RocketMQ	https://rocketmq.apache.org/
C类厂商	Apache Dubbo	https://dubbo.apache.org/zh-cn/
C类厂商	Harbor	https://github.com/goharbor/harbor
C类厂商	Sentinel	https://github.com/alibaba/Sentinel/wiki/%E6%8E%A7%E5%88%B6%E5%8F%B0
C类厂商	Grafana	https://github.com/grafana/grafana
C类厂商	Harbo	https://github.com/goharbor/harbor
C类厂商	SquirrelMail	https://squirrelmail.org/
C类厂商	AMH 云主机面板	http://amh.sh/
D类厂商	74cms	http://www.74cms.com/
D类厂商	齐博CMS	http://www.qibosoft.com/
D类厂商	HiShop	http://www.hishop.com.cn/
D类厂商	SiteServer CMS	http://www.siteserver.cn/
D类厂商	PHP168	http://www.php168.net/
D类厂商	B2Bbuilder	http://www.b2b-builder.com/
D类厂商	Typecho	http://typecho.org/
D类厂商	OpenCart	https://github.com/opencart/opencart
D类厂商	DokuWiki	https://www.dokuwiki.org/dokuwiki
D类厂商	ShopEx	http://www.shopex.cn/
D类厂商	通达OA	https://www.tongda2000.com/
C类厂商	CMSTOP	http://www.cmstop.com/
D类厂商	HDwiki	http://kaiyuan.hudong.com/
D类厂商	phpBB	https://www.phpbb.com/
D类厂商	ThinkSNS	http://thinksns.com/
D类厂商	live800	https://www.live800.com/
D类厂商	MyBB	https://github.com/mybb
F类厂商	PbootCMS	http://www.asp4cms.com/
F类厂商	Magento	https://magento.com/
F类厂商	Odoo	https://www.odoo.com/zh_CN/
F类厂商	Destoon	https://www.destoon.com/
F类厂商	vBulletin	https://www.vbulletin.com/
F类厂商	MetInfo	https://www.metinfo.cn/
F类厂商	Z-Blog	https://www.zblogcn.com/
F类厂商	KesionCMS	http://www.kesion.com/aspb/
F类厂商	微擎	https://www.we7.cc/
F类厂商	emlog	http://www.emlog.net/
F类厂商	主机宝	http://z.admin5.com

说明如无特殊标注，漏洞收集的范围是上表中应用程序的最新版本。最新版本信息，可在应用程序的官网查看。

评分规则

为解决漏洞评级混乱问题，美国基础设施顾问委员会（NIAC）提出了CVSS公开标准，由FIRST组织进行维护，它被用来评价漏洞的严重与紧急程度。

CVSS漏洞评级标准计算器

基础分类型	基础分值名	基础分值数
攻击方式（AV）	远程网络（N）相邻网络（A）本地攻击（L）物理方式（P）	0.85 0.62 0.55 0.2
攻击复杂度（AC）	低（L）高（H）	0.77 0.44
权限要求（PR）	无（N）低（L）高（H）	0.85 0.62（如果影响范围有变化为0.68） 0.27（如果影响范围有变化为0.50）
用户交互（UI）	不需要（N）需要（P）	0.85 0.62
C（机密性） I（完整性） A（可用性）	高（H）低（L）无（N）	0.56 0.220 0.0
影响范围（S）	未改变（U）改变（C）	互联网中受影响实例的个数

说明影响范围权重最高，能够客观检验一个漏洞在互联网上的影响程度。

得分算法

根据以上得分，漏洞得分划分为：

严重（9.6~10.0）
高危（7.0~9.5）
中危（4.0~6.9）
低危（0.1~3.9）
无效（0.0）

对应的奖励范围

厂商类型	严重漏洞奖励范围	高危漏洞奖励范围	中危漏洞奖励范围	低危漏洞奖励范围
A类厂商	奖金：50000~500000元积分：150	奖金：20000~50000元积分：120	奖金：4000~15000元积分：60	奖金：500~1000元积分：30
B类厂商	奖金：20000~50000元积分：120	奖金：6000~15000元积分：100	奖金：1500~3000元积分：50	奖金：300~500元积分：20
C类厂商	奖金：10000~15000元积分：120	奖金：3000~6000元积分：60	奖金：800~1500元积分：30	奖金：200~300元积分：15
D类厂商	奖金：2000~3000元积分：120	奖金：1000~2000元积分：40	奖金：500~800元积分：20	奖金：100~200元积分：10
F类厂商	奖金：1000~2000元积分：120	奖金：600~1000元积分：40	奖金：400~600元积分：20	奖金：50~150元积分：10

暂不在漏洞收集范畴的类型

A、B类厂商以外的XSS漏洞一概不在收取范围。
A、B类厂商不收取反射XSS漏洞，SELF-XSS漏洞。
事件型漏洞（如xx厂商的某cms，存在官方接口安全问题，接口在官方服务器上）。
其他影响十分有限的漏洞。

漏洞降级

漏洞利用过程中需要涉及非普通用户权限，或在满足一定条件下才能触发的漏洞，将会酌情降级或降低奖励。
后台漏洞目前只收取getshell（OA类、协作类产品的普通用户控制台算作后台），漏洞会降级低危处理。

厂商降级

当针对某个厂商收取的高危漏洞数大于30个（未修复状态池），且厂商官方再无能力修复漏洞时，将对厂商进行降级或下线处理，同时暂停收取漏洞。

付款条件和限制

奖励标准仅适用于列表中的厂商，列表外的厂商，我们将根据厂商应用流行程度和漏洞影响范围，酌情给予奖励；
同一漏洞多位白帽子在先知平台提交，以时间先后顺序只奖励首位提交者；
官方无开源代码并且无测试Demo的漏洞，需要提供至少5个互联网以实例证明危害；
同一个漏洞源产生的多个漏洞计漏洞数量为一。例如：同一功能模块下的不同接口，同一文件的不同参数、同一参数出现在不同文件、同一文件在不同目录、同一漏洞的不同利用方式、不同版本的同一漏洞、同一函数导致漏洞等；
可以通过修复一个点使得后续利用均不可行的情况，后续漏洞提交均视为重复漏洞。说明如多个接口程序中都用到了同一个全局函数进行数据处理，这个全局数据处理函数被利用导致了漏洞形成，则所有此类漏洞均视为同一漏洞。
在先知平台通知第三方厂商修复漏洞之前，漏洞在互联网上被公开不给予奖励；
报告网上已公开的漏洞不给予奖励；
同一漏洞重复提交至其他第三方漏洞平台，先知平台有权不给予奖励；
在漏洞处理的任何阶段发现漏洞重复或被公开，先知平台都有权驳回漏洞并取消奖励；对于恶意提交重复漏洞骗取奖励的行为，会给予警告乃至封号处理。

漏洞提交报告要求

为了能够对每个漏洞进行客观评估，兼顾厂商对漏洞的实际影响判断，建议白帽子依据CVSS 3.0标准，补充如下关键信息，从而避免审核过程中造成的偏颇。

利用方式：远程/本地/物理
用户交互：不需要登录/需登录/需登录（开放注册）
权限要求：普通用户/功能管理员/系统管理员
利用接口：http://example.com/XXXXXid=100&xxxxx
漏洞利用点参数：利用接口URL中的id
漏洞证明：
- SQL注入漏洞：请补充注入利用证明，包括数据库的 user()或 version()或 database()的输出结果，建议提供截图。
- 命令执行漏洞：请补充命令执行利用证明，运行命令whoami 输出的结果，建议提供截图。

注意事项

恶意报告者将作封号处理。
报告无关问题的将不予答复。
阿里巴巴集团员工不得参与或通过朋友参与漏洞奖励计划。
奖励计划仅适用于通过先知平台报告漏洞的用户。
漏洞奖励计划最终解释权归先知平台所有。

上一篇：云盾先知安全情报平台服务条款

下一篇：附件一：漏洞收集流程（先知安全情报）

厂商类型	严重漏洞奖励范围	高危漏洞奖励范围	中危漏洞奖励范围	低危漏洞奖励范围
A类厂商	奖金：50000~500000元积分：150	奖金：20000~50000元积分：120	奖金：4000~15000元积分：60	奖金：500~1000元积分：30
B类厂商	奖金：20000~50000元积分：120	奖金：6000~15000元积分：100	奖金：1500~3000元积分：50	奖金：300~500元积分：20
C类厂商	奖金：10000~15000元积分：120	奖金：3000~6000元积分：60	奖金：800~1500元积分：30	奖金：200~300元积分：15
D类厂商	奖金：2000~3000元积分：120	奖金：1000~2000元积分：40	奖金：500~800元积分：20	奖金：100~200元积分：10
F类厂商	奖金：1000~2000元积分：120	奖金：600~1000元积分：40	奖金：400~600元积分：20	奖金：50~150元积分：10