公告编号:作者:admin发布日期:2024/09/18
玲珑安全漏洞奖励计划规则
玲珑安全一向非常重视自身产品和业务的安全,为了保障用户安全,我们发布了玲珑安全漏洞奖励计划,并通过和安全社区及业界同仁共同合作,来帮助我们不断提升和完善自身产品及业务的安全性。
奖励计划范围
玲珑安全在独立运营的玲珑安全服务,包括在如下域名中的内容(包括基础设施,网站,Web服务,Web应用程序,服务API等):
玲珑安全备案系统相关域名
漏洞影响定级和奖励金额
根据漏洞危害程度分为严重、高、中、低、四个等级,经过玲珑安全评估确认后的漏洞。
| 漏洞级别 | 漏洞影响样例 | 奖励金额范围(人民币) |
| 严重 | 1.导致获取核心业务系统权限。包括但不限于远程命令执行、任意代码执行、上传获取Webshell、SQL注入、缓冲区溢出、弱口令等。 2.虚拟机逃逸获取宿主机的权限,可导致核心业务或大量租户受影响。 3.由于严重的设计或流程缺陷,可导致核心业务数据或跨租户数据泄露、篡改。如核心业务信息丢失导致大量租户受到严重影响。 4.大量隐私信息泄露,如数万条身份证信息等。 5.可远程导致核心业务拒绝服务的漏洞,包括但不限于造成大量租户业务不可用。 | |
| 高 | 1.由于设计或流程缺陷,可导致核心业务包括但不限于大量租户数据泄露或篡改。 2.可盗取核心业务的租户身份凭证信息的存储型XSS、可造成蠕虫的XSS等漏洞。 3.业务逻辑缺陷,可导致如身份认证绕过、订单篡改造成高配低买(对于推广期间免费试用,域名费用,临时促销活动等,我们将会根据实际影响进行评估)。 4.可远程导致重要业务拒绝服务的漏洞,包括但不限于造成部分业务不可用。 5.高风险的信息泄漏漏洞,包括但不限于核心业务的大量源码泄漏等。 | |
| 中 | 1.可盗取核心业务的租户身份凭证信息的反射型XSS、CSRF;或可盗取普通业务的租户身份凭证信息的XSS、CSRF等。 2.一般信息泄露漏洞。如租户订单、交易信息等。 3.影响有限的普通越权操作、非关键业务篡改,包括不限于仿冒管理员身份发布虚假消息等。 4.普通的逻辑设计和流程缺陷导致如短信验证码重放攻击(有防护措施除外)、论坛无限发帖等。 5.由于账号管理不当,造成非核心业务(包括但不限于测试业务等)的滥用、篡改等。 6.可远程导致普通业务拒绝服务的漏洞,包括但不限于造成部分业务不可用,影响有限。 | |
| 低 | 1.参数过滤不严格导致不安全的URL跳转,可被用于发起钓鱼攻击,挂马等。 2.轻微信息泄漏。包括但不仅限于配置信息、账号等。 3.防爆破机制不完善,导致可执行爆破攻击。 4.难以利用但存在安全隐患的漏洞,包括但不仅限于难以利用的SQL注入点、需构造部分参数且有一定影响的CSRF等。 5.影响很小的越权操作。如越权读取少量非敏感信息、越权篡改/删除实际造成的影响很低或没有安全影响的。 6.影响有限的设计和流程缺陷等导致的安全风险。 |
如果您按照要求提交高质量的漏洞报告,有助于我们快速复现问题,实施缓解措施例如IPS/WAF规则,相比低质量的漏洞报告,我们将会给予更高的奖励额度;
漏洞奖励额度还取决于受影响业务的重要性;
多个研究者重复上报的漏洞,我们将只对第一位上报漏洞的研究者给予奖励;
有时候一个报告会包含多个安全漏洞(利用多个漏洞利用造成影响),或者多个安全报告最终指向一个安全漏洞,我们将视最终的影响结果按照一次有效上报来奖励;
不同域名最终指向同一系统的,算作一个漏洞
如果安全措施已经对漏洞的利用进行了缓解,使漏洞利用及攻击无法被真正实施,我们将会降低该漏洞的级别或者认定其为无效;
如果报告的漏洞是玲珑安全内部已知安全漏洞,我们会适当降低漏洞级别以及奖金;
对于同一个URL链接,如果多个参数存在类似的漏洞,按一个漏洞计算。如XSS漏洞;
通常来说,漏洞演示视频不是必须的,若您觉得演示视频可以更方便的描述问题,或者有些特别的攻击场景需要用视频来证明和演示,可以联系我们,我们将提供上传地址;
奖励金额最终由玲珑安全评估小组决定。
不在奖励计划范围内的漏洞
奖励计划的目标是发现和识别对玲珑安全服务以及用户数据造成影响的漏洞,但以下情况不在奖励计划范围内:
玲珑安全平台使用的开源及第三方软件(例如Apache,Xen)的公开或已知漏洞(官方发布安全公告、玲珑安全已经获知或者在外部论坛社区已经公布细节)不在奖励计划范围,但以下情况除外:
1)严重或高危漏洞可证明对玲珑安全造成重大影响的,且超过“锁定时间”的;
2)中危漏洞提供新的Exploit可证明对玲珑安全造成影响的,且超过“锁定时间”的。
符合以上两种例外情况的已知漏洞的奖励金额,会低于原创漏洞的奖励金额。
锁定时间:针对玲珑安全平台使用的开源及第三方软件,从官方发布安全公告开始计算,我们会有相应的“锁定时间”,在这个时间里,我们会对业务进行排查、修复及补丁推送。在此期间内提交的漏洞,我们将不再予以奖励。锁定时间后,如果仍旧发现了相关的漏洞,并且可以通过PoC验证实际影响业务的,我们会按照漏洞评审规则进行评定和奖励;
任何非敏感信息泄露(如IP地址,服务名称以及一些无用的错误信息,如栈跟踪信息);
玲珑安全提供的弹性云镜像(公共,私有,共享)上存在的操作系统漏洞以及预装公共应用中存在的漏洞;
玲珑安全提供的Docker镜像(示例镜像,Docker官方镜像)中存在的安全漏洞;
无实际危害证明的扫描器结果;
其他无效的“漏洞”,包括不限于:
1)不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。
2)无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。
3)不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。
4)遍历手机号发短信,遍历用户名(邮箱)判断是否已注册、邮箱轰炸、验证码爆破、无额外验证导致可爆破(非重点核心功能)、无任何意义或影响的越权。
安全测试中的禁止行为
任何类型的拒绝服务测试;
通过软件或者工具自动扫描产生大量数据流量的行为;
任何对玲珑安全平台造成服务中断或破坏的行为;
非授权访问、下载、修改或删除不属于你的数据,仅允许通过POC证明问题存在;
对玲珑安全或者用户发起网络钓鱼或者社会工程学攻击;
违反法律的行为,详情请参见《玲珑安全安全奖励计划用户协议》。
参与人限制
玲珑安全(正式员工和外包员工)及其直系亲属不能参与该奖励计划。详情请参见《玲珑安全安全奖励计划用户协议》中“参与本计划的资格条件”章节。
漏洞披露
我们要求在您上报的安全漏洞被修复之前,不要对外披露(这包括除您之外的任何第三方),否则您将不能再参加玲珑安全现有或将来的任何漏洞奖励计划。若您打算在我们修复漏洞之后公开讨论漏洞,这包括会议演讲,发表技术分享文章等,请提前联系root@ifhsec.com。
最后注意事项
本网站对以上所有条款具有最终解释权。
