2019年微贷安全应急响应中心漏洞奖励细则

发布日期:2019/05/17

基本原则:

WDSRC对于帮助我司提高产品安全性、保护广大微贷网用户利益的白帽子黑客,将给予感谢并提供丰厚的奖励。

WDSRC反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞入侵业务系统、篡改系统数据、盗取用户资料、恶意传播漏洞或数据等,对于发生此类行为的人员我司将追究其法律责任。

分级分类原则:

WDSRC将我司业务分为核心应用和一般应用,与之对应应用系数分别为:核心应用10、一般应用5(应用系数划分明细见附录一)。

我们将对接收的漏洞逐一进行评审,根据漏洞的危害程度、利用难度等综合因素定级为高危、中危、低危、无影响四个级别之一,每个级别漏洞的评分系数为:高危300~1000、中危100~300、低危5~100、无影响0(漏洞分类标准见附录二)。

最终奖励积分计算公式为:奖励积分=应用系数*漏洞系数,如下:

奖励标准.png

获得积分同时您将获得等值安钱币,安全币可以在我们SRC礼品库兑换等值京东卡或者其他礼品。


先到先得原则

对同一地址同一类型漏洞最先报告者给予奖励,其他报告者忽略处理,且不公开漏洞详情。

 

附录一:业务应用系数定义

核心应用:www.weidai.com.cn、微贷网(理财)app、微贷(借款)app

一般应用:其他微贷旗下业务,包括但不限于OA,机牛牛、微易融等。

 

附录二:漏洞分类标准定义

根据每个漏洞的危害程度、利用难度等综合因素分级如下:

高危:

直接获取核心系统权限(服务器权限、客户端权限)的漏洞。包括但不限于远程任意命令执行、代码执行、任意文件上传获取Webshell、缓冲区溢出、SQL注入获取系统权限、服务器解析漏洞、文件包含漏洞、反序列化漏洞等。

严重的逻辑设计缺陷,包括但不限于任意账号登陆、任意账号密码修改。

严重的敏感信息泄露,包括但不限于严重的SQL注入、任意文件包含等。

核心系统越权访问,包括但不限于绕过验证直接访问后台、后台登录弱口令、SSH弱口令,数据库弱口令等。

中危:

需要交互才能获取用户身份信息的漏洞,包括存储型XSS等。

普通逻辑设计缺陷,如短信验证码绕过(非暴力破解)、无限制给任意手机号码发送短信等。

非重点产品线、利用难度较大的SQL注入漏洞等。

低危:

一般信息泄露漏洞,包括但不限于路径泄露、GitHub代码泄露、敏感信息文件泄露等。

无法利用或者难以利用的漏洞,包括但不限于反射型XSS和只能弹自己的XSSCSRFCORS

验证码机制失效或绕过(短时间内通过技术手段绕过或暴力破解验证成功)。

无影响:

不涉及安全问题的bug,包括但不限于产品功能缺陷、页面乱码、样式混编等。

无法重现的漏洞、不能直接体现漏洞的其他问题,包括但不限于纯属用户猜测的问题。

 

争议解决办法

在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以通过漏洞详情页面的留言板、微信、电话等渠道沟通,我们收到后会及时联系处理。

WDSRC将按照漏洞报告者利益优先的原则处理,必要时会引入外部安全人士共同裁定。

 

特别提醒:

本站SRC系统基于某开源系统二次开发暂时使用,后期会重新开发一套。我们不建议白帽子对此系统本身进行测试,针对此系统的测试将不会收到任何奖励,希望白帽子把测试重心放在微贷网主营业务上。

本《2019年微贷安全应急响应中心漏洞奖励细则》即日起正式生效,原《2018年微贷安全应急响应中心漏洞奖励细则》同时废止。

 

WDSRC

2019517


返回列表