云盾先知计划收录全球通用软件0day漏洞。如果您发现第三方通用软件的漏洞,欢迎您向我们提交,我们会第一时间响应处理。为了表达您对互联网安全生态圈建设作出的贡献,我们将向您提供现金奖励和荣誉奖励。
收集漏洞厂商范围:
我们关注当前应用广泛的互联网应用软件类及第三方建站系统程序,具体如下:
厂商类型 | 详细信息 |
---|---|
流行厂商 | dedecms,Wordpress, Discuz!X, ecshop,phpcmsv9,empirecms,aspcms ,phpweb,metinfo,微擎 |
一般厂商Ⅰ | z-blog,siteserver,destoon,southidc,coldfusion,kesioncms ,codeigniter,sdcms,thinkphp,phpwind,shopex,yifancms,joomla,drupal,emlog |
一般厂商Ⅱ | hishop,qibosoft,pageadmin,espcms,建站之星,cmseasy,phpcms,方维众筹,方维p2p,万户网络,方维团购,ecmall,74cms,powereasy,wdcp管理系统,良精南方,xycms,finecms,douphp,opencart |
一般厂商Ⅲ | iwebshop,方维o2o,08cms,typecho,actcms,phpcms2008,magento,kingcms,ecstore,wecenter,php168,cmstop,doccms,zcncms,otcms,绿麻雀p2p,stcms,phpok,ideacms,abcms,django,bbpress,piwik,phpnow,b2bbuilder |
其他 | 常用Web编辑器: 其他广泛使用的应用软件:IIS, Apache等或影响较大的通用软件漏洞 |
奖励标准:
成功上报的漏洞,我们会给出相应的现金奖励及积分奖励,具体的奖励额度由漏洞对应用的危害程度以及厂商的流行程度决定,具体如下:
厂商类型 | 高危漏洞 | 中危漏洞 | 低危漏洞 |
---|---|---|---|
流行厂商 | 奖金: 10000~500000元 积分: 120 | 奖金: 1000~10000元 积分: 60 | 奖金: 500~1000元 积分: 30 |
一般厂商Ⅰ | 奖金: 3000~10000元 积分: 100 | 奖金: 800~1000元 积分: 50 | 奖金: 300~500元 积分: 20 |
一般厂商Ⅱ | 奖金: 1000~3000元 积分: 60 | 奖金: 500~800元 积分: 30 | 奖金: 200~300元 积分: 15 |
一般厂商Ⅲ | 奖金: 500~1000元 积分: 40 | 奖金: 200~500元 积分: 20 | 奖金: 100-200元 积分: 10 |
注:其他不在厂商收集范围内的漏洞将酌情单独进行奖励。
漏洞定义:
漏洞:攻击者通过操纵某些数据,使得程序偏离设计者的逻辑,进而引发的安全问题。先知计划漏洞平台主要收集应用软件和建站系统程序漏洞。
漏洞名称:
白帽子自定义漏洞名称,尽量包含漏洞关键字等信息。
如:PHPWind v9.0.1前台无限制Getshell。
漏洞类型:
我们关注的漏洞类型,包括:
XSS;SQL注入;命令执行;文件包含;任意文件操作;权限绕过;存在后门;文件上传;逻辑漏洞,栈溢出,堆溢出,内存破坏,整数溢出,释放后重用,类型混淆,沙盒绕过,本地提权,双重释放。
漏洞等级:
分为三个等级:高危、中危、低危。
高危:
1、直接获取系统权限的漏洞。包括但不限于远程命令执行、代码执行、上传webshell、缓冲区溢出;
2、严重的逻辑设计缺陷和流程缺陷。包括但不限于任意账号密码修改、重要业务配置修改、泄露;
3、可直接批量盗取用户身份权限的漏洞。包括但不限于SQL注入;
4、严重的权限绕过类漏洞。包括但不限于绕过认证直接访问管理后台、cookie欺骗。
中危:
1、需要在一定条件限制下,能获取服务器权限、网站权限与核心数据库数据的操作。包括但不限于交互性代码执行、一定条件下的注入、特定系统版本下的getshell等;
2、无限制任意文件操作漏洞。包括但不限于任意文件写、删除、下载,敏感文件读取等操作;
3、普通越权访问。包括但不限于绕过限制修改用户资料、执行用户操作。
低危:
1、能够获取一些数据,但不属于核心数据的操作;
2、在条件严苛的环境下能够获取核心数据或者控制核心业务的操作;
3、可获取用户身份信息的漏洞。包含但不限于XSS漏洞(限“流行厂商“)。
暂不在漏洞收集范畴的类型:
1、非流行厂商的XSS、CSRF等需要交互才能影响的漏洞;
2、需要管理员或高级别用户权限才能执行的漏洞,如后台SQL注入、非流行厂商的后台GetShell等;
3、事件型漏洞;
4、其他影响十分有限的漏洞。
付款条件和限制:
1、奖励标准仅适用于列表中的厂商,列表外的厂商,我们将根据厂商应用流行程度和漏洞影响范围,酌情给予奖励;
2、同一漏洞多位白帽子在先知平台提交,以时间先后顺序只奖励首位提交者;
3、 官方无开源代码并且无测试Demo的漏洞,需要提供至少5个互联网以实例证明危害;
4、同一个漏洞源产生的多个漏洞计漏洞数量为一。例如:同一文件的不同参数、同一参数出现在不同文件、同一文件在不同目录、同一漏洞的不同利用方式、不同版本的同一漏洞等;
5、CMS之外的问题如服务器配置问题,不在关注范围内;
6、在先知平台通知第三方厂商修复漏洞之前,漏洞在互联网上被公开不给予奖励;
7、报告网上已公开的漏洞不给予奖励;
8、同一漏洞重复提交至其他漏洞平台,先知平台有权不给予奖励。
9、在漏洞处理的任何阶段发现漏洞重复或被公开,先知平台都有权驳回漏洞并取消奖励;对于恶意提交重复漏洞骗取奖励的行为,会给予警告乃至封号处理。
注意事项:
1、恶意报告者将作封号处理;
2、报告无关问题的将不予答复;
3、阿里巴巴集团员工不得参与或通过朋友参与漏洞奖励计划;
4、奖励计划仅适用于通过先知平台报告漏洞的用户;
5、漏洞奖励计划最终解释权归先知平台所有。