2018年微贷安全应急响应中心漏洞奖励细则

发布日期:2019/04/15

基本原则

我们对于保护用户利益,帮助安全提升的白帽子黑客,我们给予感谢和回馈。

我们反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户资料、入侵业务系统、修改、窃取相关系统资料、恶意传播漏洞或数据。对于发生上述行为的、我们司将追究其法律责任。


漏洞主要收集范围:*.weidai.com.cn 微贷网(理财)app 微贷借款app


漏洞处理流程及评级定义:

对于每一个级别的漏洞,我们会根据漏洞利用的技术难度、漏洞造成的影响等进行综合考虑,分成不同等级给与相应积分。

根据漏洞出现的业务等级,漏洞危害程度分为高危、中危、低危、忽略四个级别,每个级别涵盖的漏洞以及评分标准如下:


高危:

直接获取核心系统权限(服务器权限、客户端权限)的漏洞。包括但不限于远程任意命令执行、代码执行、任意文件上传获取Webshell、

缓冲区溢出、SQL注入获取系统权限、服务器解析漏洞、文件包含漏洞、反序列化漏洞等。

严重的逻辑设计缺陷。包括但不限于任意账号登陆、任意账号密码修改、短信验证码绕过(非暴力破解)。

严重的敏感信息泄露。包括但不限于严重的SQL注入、任意文件包含等。

核心系统越权访问,包括但不限于绕过验证直接访问后台、后台登录弱口令、SSH弱口令,数据库弱口令等。


中危:

需要交互才能获取用户身份信息的漏洞。包括存储型XSS等。

普通逻辑设计缺陷。包括但不限于无限制给任意手机号码发送短信等。

非重点产品线、利用难度较大的SQL注入漏洞等。


低危:

一般信息泄露漏洞。包括但不限于路径泄露、SVN文件泄露、敏感信息文件泄露等。

无法利用或者难以利用的漏洞,包括但不限于反射型XSS和只能弹自己的XSS,CSRF。

验证码机制失效或绕过(短时间内通过技术手段绕过或暴力破解验证成功)。


奖励规则:

高危:3000-10000人民币     中危:1000-2999人民币     低危:25-1000人民币


忽略范围:

不涉及安全问题的bug。包括但不限于产品功能缺陷、页面乱码、样式混编等。

无法重现的漏洞、不能直接体现漏洞的其他问题。包括但不限于纯属用户猜测的问题。


特别提醒:本站SRC系统基于某开源系统二次开发暂时使用,后期会重新开发一套,

我们不建议对本系统进行测试,也不会给予现金奖励,请大家尽量测试我司业务系统。



返回列表