活动简介
谈起网络安全,漏洞不可避免,漏洞一旦被恶意利用,会对企业造成不可估量的后果;漏洞管理的复杂性在于会贯穿多个层次,涉及多个环节,漏洞会持续成为网络安全行业有序发展的核心命题。
为了及时发现高威胁漏洞并对其进行及时响应,防止漏洞被恶意利用,保障互联网的安全与稳定,安恒信息于今日正式发布“安恒漏洞响应平台”广泛接受互联网系统安全漏洞,帮助企业建立漏洞的应急响应与处理机制;平台将对收到的互联网安全漏洞进行规范处置,并向相关监管单位及国家级漏洞库进行报送。
白帽子发现的互联网系统漏洞但不知如何报送到相关单位,可通过安恒漏洞平台进行提交,我们将对白帽子提交的漏洞进行规范处理后发放相应奖励。
活动时间
2022年2月11日-2022年3月11日
活动地点
线上。漏洞提交:
https://bug.bountyteam.com/index
活动详情
一、收录范围
安恒漏洞响应平台收录互联网上的Web安全漏洞,按照新网络安全法中第三十一条中规定的国家重要行业和领域将厂商分为三个大类:A类厂商、B类厂商、C类厂商;其中A类厂商奖励最高C类奖励最低。
具体请参考:
https://bug.bountyteam.com/announcement/detail/6
二、评级标准
高危
1、直接获取服务器权限的漏洞。包括但不限于任意命令执行、上传webshell、任意代码执行;
2、直接导致严重的信息泄漏漏洞。包括但不限于重要DB的SQL注入漏洞;
3、直接导致严重影响的逻辑漏洞。包括但不限于任意帐号密码更改漏洞;
4、能直接盗取用户身份信息的漏洞。包括但不限于SQL注入。
*注:如系统为企业边缘业务,则该漏洞做降级处理
中危
1.需交互才能获取用户身份信息的漏洞。包括但不限于核心及重要系统存储型XSS漏洞;
2.任意文操作漏洞。包括但不限于任意文件读、写、删除、下载等操作;
3.普通的越权访问。包括但不限于绕过限制修改用户资料、执行用户操作、读取用户信息;绕过限制访问非重要系统后台;
4.比较严重的信息泄漏漏洞。包括但不限于敏感信息文件泄露。
*注:如系统为企业边缘业务,则该漏洞做降级处理
低危
1.反射型XSS、非重要系统存储型XSS;
2.敏感操作的CSRF;
3.URL跳转;
4.危害有限的越权操作;
5.轻微信息泄漏(需证明危害)。包括但不限于phpinfo;非核心系统的svn信息泄露;非重要信息的泄露(如不能利用的DB连接密码等);客户端应用本地SQL注入;
6.难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点;客户端本地拒绝服务。
三、奖励标准
漏洞一经确认,我们会发放与漏洞厂商类型、等级相匹配的积分,请白帽子于礼品商城自行兑换奖励及礼品。
具体请参考:https://bug.bountyteam.com/announcement/detail/6
四、额外活动
活动时间:2022年2月11日-2022年3月11日
1、活动期间累计提交600个有效高危漏洞可获得额外1000积分奖励(约等于10000元)
2、活动期间累计提交200个有效漏洞,可额外获得亚运福娃一套
3、活动期间累计提交100个有效漏洞,可额外获得雷神众测卫衣一件
特别说明:上述活动不可累积均按照最高奖励发放,且所有漏洞确认后单独进行发放额外奖励