该规范自发布之日起，到下一次发布日执行

一、基本原则
1. 猪八戒网非常重视自身产品和业务的安全问题，我们承诺，对每一份报告都会有专门安全人员进行评估、跟进并及时反馈最新的处理结果。
2. 我们承诺对每位恪守“白帽子精神”，保护用户利益，并且会给予反馈安全漏洞的白帽子奖励。
3. 我们严禁一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益的恶意为。
4. 我们认为每个安全漏洞的处理和整个安全行业的进步，都离不开业界各方的共同合作。我们欢迎各安全人士一起为猪八戒网建设安全健康的互联网环境保驾护航。

二、漏洞反馈流程和处理流程
1.注册账号。请各位白帽子注册（https://account.zbj.com/register）猪八戒网账号，并完善资料（请确保资料正确，方便后续奖励发放）。
2.报告。请登陆指定平台提交漏洞信息（请务必详尽，按照提示进行漏洞描述，并在漏洞修复之前不要对外传播）。
3.处理。猪八戒网安全应急响应中心工作人员会尽快审核漏洞，必要时会联系用户了解情况。
4.致谢。猪八戒网安全应急响应中心将根据贡献值给予漏洞报告者以奖励（详见安全漏洞评分标准）

三、安全漏洞评分标准
计算公式: 猪币 = 漏洞等级 * 应用系数
(注：猪币即积分)
猪币:人民币=1:10
猪币对应表：

3.1漏洞等级：
ZSRC根据漏洞的危害程度将漏洞等级分为五个等级：【严重】、【高危】、【中危】、【低危】、【无影响】。 由ZSRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的猪币和漏洞等级，猪币可用于礼品兑换。每种等级包含的评分标准及漏洞类型如下：

【严重】
（1）严重的敏感信息泄露，包括但不限于可以获取重要如包含重要服务口令数据的 SQL 注入漏洞（如用户帐号密码）、以及任意文件读取和下载漏洞（如包含重要服务口令）等
（2）严重的逻辑漏洞，包括但不限于任意账号登陆、任意账号密码修改、支付绕过漏洞、以任意人身份敏感操作等
（3）远程直接获取系统权限的漏洞（服务端和客户端），包括但不限于远程任意命令执行、代码执行、任意文件上传获取 webshell、缓冲区溢出、SQL注入获取系统权限等

【高危】
（1）大范围影响用户的漏洞，包含但不限于容易利用的存储型XSS等
（2）高风险的信息泄露，包括但不限于可以利用的源代码泄露、可以获取一般数据的 SQL 注入漏洞、以及任意文件读取和下载漏洞等
（3）越权访问重要应用系统，包括但不限于绕过验证直接访问管理后台、后台登录弱口令且有实际性权限或重要敏感信息、以及其他服务的弱口令等

【中危】
（1）需要条件才能获取用户身份信息的漏洞（如交互）。包括但不限于JSON Hijacking、CSRF、普通业务的存储型 XSS
（2）普通的信息泄露，包括但不限于包括可以轻微数据的SQL注入和难以利用的SQL注入，普通的越权操作以及设计缺陷和流程缺陷
（3）可导致资源滥用或做成对用户骚扰的漏洞，包括但不限于：短信炸弹、邮件炸弹等。

【低危】
（1）包括但不限于有利用价值的反射型 XSS（代码出现在script标签内）、轻微的信息泄露，包括但不限于路径泄露、无敏感信息的源代码泄露、PHPINFO、SVN等
（2）本地拒绝服务漏洞。包括但不限于客户端本地拒绝服务（解析文件格式、网络协议产生的崩溃）

【无影响】
（1）无法影响其他用户的漏洞包括但不限于self~xss、url跳转
（2）无法利用的漏洞，包括但不限于版本过低
（3）无关安全的BUG，包括但不限于功能无法使用、网页乱码，应用兼容性等问题

3.2应用系数说明
ZSRC将从Web应用和移动客户端应用两方面，根据应用重要程度将应用等级划分为三个等级：【核心应用】、【一般应用】、【边缘应用】

【Web应用】
1、核心应用系数为10：核心业务涉及平台用户、资金、交易、店铺的应用；
2、一般应用系数为4： 核心业务中不涉及平台用户、资金、交易、店铺的应用，以及一般业务的核心应用；
3、边缘应用系数为1： 一般业务中的非核心应用，以及边缘业务拥有的应用
核心业务：猪八戒网主站、八戒知识产权、八戒财税、筋斗云、八戒招聘、八戒公采
一般业务：路标网、思博网、八戒严选、八戒工场、交易中心、八戒科技服务、八戒城市、八戒广告、八戒电子合同、服务百科、八戒大赛、工具市场、规则中心、帮助中心、会员中心、诚信管理中心、八戒110、隐私小号、八戒数据、八戒圈、八戒旺铺、园区云、
边缘业务：洋镖局及以上未提及的后缀域名为*.zbj.com的域名

【移动客户端应用】
1、核心应用系数为10：猪八戒网、八戒企业管家
2、一般应用系数为4：思博网、商标进度查询


四、奖励规则
1、奖励只针对通过猪八戒网安全应急响应平台、安全应急中心邮箱sec@zbj.com提交漏洞的白帽子。
2、奖励仅支持可威胁到猪八戒业务和业务相关的情报，与猪八戒无关的情报，将不给予奖励。
3、对于相同的漏洞报告，将给予首位提交者奖励，其余提交者不给予奖励。
4、同一份报告中提交多个漏洞，只按危害级别最高的漏洞给予奖励。
5、由于情报的时效性，报告已知或已失效的情报不给予奖励。
6、网上已公开的漏洞不给予奖励。
7、在漏洞修复之前，被公开的漏洞不给予奖励。

4.1奖励发放原则
（1）常规奖励：
奖品使用猪币兑换，1猪币=10RMB，猪币数量由漏洞等级乘以相应的危害系数计算得出，猪币不会过期；
礼品兑换后ZSRC工作人员将会联系您核对信息；
如因礼品兑换者个人过失、快递公司问题及人力不可抗拒因素导致的奖品损坏或丢失，猪八戒网安全应急响应中心不承担责任。
（2）特殊奖励：
猪八戒网安全应急响应中心将不定期举行特殊活动，活动期间请参照活动奖励；
（3）特别提醒：
对于猪八戒网的员工，请至内部平台提交漏洞，在猪八戒网安全应急响应中心提交的安全漏洞不予奖励。

五、其他
1、恶意提交者将作封号处理
2、漏洞等级会根据不同业务系统重要程度进行升级或者降级
3、漏洞奖励计划的解释权归猪八戒网安全应急响应中心所有

六、争议解决方法
在漏洞报告处理过程中，如果报告者对流程处理、漏洞定级、漏洞评分等有异议的，可以通过以下方式联系猪八戒网安全应急响应中心的工作人员
（1） 通过猪八戒网安全应急响应中心（https://security.zbj.com/）与工作人员留言。
（2） 邮箱：sec@zbj.com进行及时有效的沟通。
（3） 搜索微信公众号（猪八戒网安全应急响应中心）进行留言。
猪八戒网安全应急响应中心ZSRC将按照漏洞报告者利益优先的原则处理。

注：【ZSRC-2023-001】猪八戒网安全应急响应中心漏洞处理流程和评分标准V10同时废止

由于公司业务调整，ZSRC将不再接收以下域名的安全漏洞，请各位白帽子知晓。

【涉及域名包括但不限于】：

聚集——looktm.com

八戒金融——jr-zbj.com

八戒装修——zx.zbj.com

八戒工程——gc.zbj.com

思博资料——d.mysipo.com

思博论坛——bbs.mysipo.com

淘普斯等——*.zbjwork.com


后续如有调整，将在此文章中更新。

如有疑问，欢迎联系我们。

本说明的最终解释权归猪八戒网安全应急响应中心所有。

由于公司业务调整，ZSRC将不再接收以下域名的安全漏洞，请各位白帽子知晓。

【涉及域名包括但不限于】：

聚集——looktm.com

八戒金融——jr-zbj.com

八戒装修——zx.zbj.com

八戒工程——gc.zbj.com

思博资料——d.mysipo.com

思博论坛——bbs.mysipo.com


后续如有调整，将在此文章中更新。

如有疑问，欢迎联系我们。

本说明的最终解释权归猪八戒网安全应急响应中心所有。

该规范自发布之日起，到下一次发布日执行

一、基本原则
1. 猪八戒网非常重视自身产品和业务的安全问题，我们承诺，对每一份报告都会有专门安全人员进行评估、跟进并及时反馈最新的处理结果。
2. 我们承诺对每位恪守“白帽子精神”，保护用户利益，并且会给予反馈安全漏洞的白帽子奖励。
3. 我们严禁一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益的恶意为。
4. 我们认为每个安全漏洞的处理和整个安全行业的进步，都离不开业界各方的共同合作。我们欢迎各安全人士一起为猪八戒网建设安全健康的互联网环境保驾护航。

二、漏洞反馈流程和处理流程
1.注册账号。请各位白帽子注册（https://account.zbj.com/register）猪八戒网账号，并完善资料（请确保资料正确，方便后续奖励发放）。
2.报告。请登陆指定平台提交漏洞信息（请务必详尽，按照提示进行漏洞描述，并在漏洞修复之前不要对外传播）。
3.处理。猪八戒网安全应急响应中心工作人员会尽快审核漏洞，必要时会联系用户了解情况。
4.致谢。猪八戒网安全应急响应中心将根据贡献值给予漏洞报告者以奖励（详见安全漏洞评分标准）

三、安全漏洞评分标准
计算公式: 猪币 = 漏洞等级 * 应用系数
(注：猪币即积分)
猪币:人民币=1:10
猪币对应表：


3.1漏洞等级：
ZSRC根据漏洞的危害程度将漏洞等级分为五个等级：【严重】、【高危】、【中危】、【低危】、【无影响】。 由ZSRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的猪币和漏洞等级，猪币可用于礼品兑换。每种等级包含的评分标准及漏洞类型如下：

【严重】
（1）严重的敏感信息泄露，包括但不限于可以获取重要如包含重要服务口令数据的 SQL 注入漏洞（如用户帐号密码）、以及任意文件读取和下载漏洞（如包含重要服务口令）等
（2）严重的逻辑漏洞，包括但不限于任意账号登陆、任意账号密码修改、支付绕过漏洞、以任意人身份敏感操作等
（3）远程直接获取系统权限的漏洞（服务端和客户端），包括但不限于远程任意命令执行、代码执行、任意文件上传获取 webshell、缓冲区溢出、SQL注入获取系统权限等

【高危】
（1）大范围影响用户的漏洞，包含但不限于容易利用的存储型XSS等
（2）高风险的信息泄露，包括但不限于可以利用的源代码泄露、可以获取一般数据的 SQL 注入漏洞、以及任意文件读取和下载漏洞等
（3）越权访问重要应用系统，包括但不限于绕过验证直接访问管理后台、后台登录弱口令且有实际性权限或重要敏感信息、以及其他服务的弱口令等

【中危】
（1）需要条件才能获取用户身份信息的漏洞（如交互）。包括但不限于JSON Hijacking、CSRF、普通业务的存储型 XSS
（2）普通的信息泄露，包括但不限于包括可以轻微数据的SQL注入和难以利用的SQL注入，普通的越权操作以及设计缺陷和流程缺陷
（3）可导致资源滥用或做成对用户骚扰的漏洞，包括但不限于：短信炸弹、邮件炸弹等。

【低危】
（1）包括但不限于有利用价值的反射型 XSS（代码出现在script标签内）、轻微的信息泄露，包括但不限于路径泄露、无敏感信息的源代码泄露、PHPINFO、SVN等
（2）本地拒绝服务漏洞。包括但不限于客户端本地拒绝服务（解析文件格式、网络协议产生的崩溃）

【无影响】
（1）无法影响其他用户的漏洞包括但不限于self~xss、url跳转
（2）无法利用的漏洞，包括但不限于版本过低
（3）无关安全的BUG，包括但不限于功能无法使用、网页乱码，应用兼容性等问题

3.2应用系数说明
ZSRC将从Web应用和移动客户端应用两方面，根据应用重要程度将应用等级划分为三个等级：【核心应用】、【一般应用】、【边缘应用】

【Web应用】
1、核心应用系数为10：核心业务涉及平台用户、资金、交易、店铺的应用；
2、一般应用系数为4： 核心业务中不涉及平台用户、资金、交易、店铺的应用，以及一般业务的核心应用；
3、边缘应用系数为1： 一般业务中的非核心应用，以及边缘业务拥有的应用
核心业务：猪八戒网主站、八戒知识产权、八戒财税、筋斗云、八戒招聘、八戒公采
一般业务：路标网、思博网、八戒严选、八戒工场、交易中心、八戒科技服务、八戒城市、八戒广告、八戒电子合同、服务百科、八戒大赛、工具市场、规则中心、帮助中心、会员中心、诚信管理中心、八戒110、隐私小号、八戒数据、八戒圈、八戒旺铺、园区云、
边缘业务：洋镖局及以上未提及的后缀域名为*.zbj.com的域名

【移动客户端应用】
1、核心应用系数为10：猪八戒网
2、一般应用系数为4：思博网、商标进度查询


四、奖励规则
1、奖励只针对通过猪八戒网安全应急响应平台、安全应急中心邮箱sec@zbj.com提交漏洞的白帽子。
2、奖励仅支持可威胁到猪八戒业务和业务相关的情报，与猪八戒无关的情报，将不给予奖励。
3、对于相同的漏洞报告，将给予首位提交者奖励，其余提交者不给予奖励。
4、同一份报告中提交多个漏洞，只按危害级别最高的漏洞给予奖励。
5、由于情报的时效性，报告已知或已失效的情报不给予奖励。
6、网上已公开的漏洞不给予奖励。
7、在漏洞修复之前，被公开的漏洞不给予奖励。

4.1奖励发放原则
（1）常规奖励：
奖品使用猪币兑换，1猪币=10RMB，猪币数量由漏洞等级乘以相应的危害系数计算得出，猪币不会过期；
礼品兑换后ZSRC工作人员将会联系您核对信息；
如因礼品兑换者个人过失、快递公司问题及人力不可抗拒因素导致的奖品损坏或丢失，猪八戒网安全应急响应中心不承担责任。
（2）特殊奖励：
猪八戒网安全应急响应中心将不定期举行特殊活动，活动期间请参照活动奖励；
（3）特别提醒：
对于猪八戒网的员工，请至内部平台提交漏洞，在猪八戒网安全应急响应中心提交的安全漏洞不予奖励。

五、其他
1、恶意提交者将作封号处理
2、漏洞等级会根据不同业务系统重要程度进行升级或者降级
3、漏洞奖励计划的解释权归猪八戒网安全应急响应中心所有

六、争议解决方法
在漏洞报告处理过程中，如果报告者对流程处理、漏洞定级、漏洞评分等有异议的，可以通过以下方式联系猪八戒网安全应急响应中心的工作人员
（1） 通过猪八戒网安全应急响应中心（https://security.zbj.com/）与工作人员留言。
（2） 邮箱：sec@zbj.com进行及时有效的沟通。
（3） 搜索微信公众号（猪八戒网安全应急响应中心）进行留言。
猪八戒网安全应急响应中心ZSRC将按照漏洞报告者利益优先的原则处理。

注：【ZSRC-2022-002】猪八戒网安全应急响应中心漏洞处理流程和评分标准V8同时废止。

该规范自发布之日起，到下一次发布日执行

一、基本原则
1. 猪八戒网非常重视自身产品和业务的安全问题，我们承诺，对每一份报告都会有专门安全人员进行评估、跟进并及时反馈最新的处理结果。
2. 我们承诺对每位恪守“白帽子精神”，保护用户利益，并且会给予反馈安全漏洞的白帽子奖励。
3. 我们严禁一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益的恶意为。
4. 我们认为每个安全漏洞的处理和整个安全行业的进步，都离不开业界各方的共同合作。我们欢迎各安全人士一起为猪八戒网建设安全健康的互联网环境保驾护航。

二、漏洞反馈流程和处理流程
1.注册账号。请各位白帽子注册（https://account.zbj.com/register）猪八戒网账号，并完善资料（请确保资料正确，方便后续奖励发放）。
2.报告。请登陆指定平台提交漏洞信息（请务必详尽，按照提示进行漏洞描述，并在漏洞修复之前不要对外传播）。
3.处理。猪八戒网安全应急响应中心工作人员会尽快审核漏洞，必要时会联系用户了解情况。
4.致谢。猪八戒网安全应急响应中心将根据贡献值给予漏洞报告者以奖励（详见安全漏洞评分标准）

三、安全漏洞评分标准
计算公式: 猪币 = 漏洞等级 * 应用系数
(注：猪币即积分)
猪币:人民币=1:10
猪币对应表：


3.1漏洞等级：
ZSRC根据漏洞的危害程度将漏洞等级分为五个等级：【严重】、【高危】、【中危】、【低危】、【无影响】。 由ZSRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的猪币和漏洞等级，猪币可用于礼品兑换。每种等级包含的评分标准及漏洞类型如下：

【严重】
（1）严重的敏感信息泄露，包括但不限于可以获取重要如包含重要服务口令数据的 SQL 注入漏洞（如用户帐号密码）、以及任意文件读取和下载漏洞（如包含重要服务口令）等
（2）严重的逻辑漏洞，包括但不限于任意账号登陆、任意账号密码修改、支付绕过漏洞、以任意人身份敏感操作等
（3）远程直接获取系统权限的漏洞（服务端和客户端），包括但不限于远程任意命令执行、代码执行、任意文件上传获取 webshell、缓冲区溢出、SQL注入获取系统权限等

【高危】
（1）大范围影响用户的漏洞，包含但不限于容易利用的存储型XSS等
（2）高风险的信息泄露，包括但不限于可以利用的源代码泄露、可以获取一般数据的 SQL 注入漏洞、以及任意文件读取和下载漏洞等
（3）越权访问重要应用系统，包括但不限于绕过验证直接访问管理后台、后台登录弱口令且有实际性权限或重要敏感信息、以及其他服务的弱口令等

【中危】
（1）需要条件才能获取用户身份信息的漏洞（如交互）。包括但不限于JSON Hijacking、CSRF、普通业务的存储型 XSS
（2）普通的信息泄露，包括但不限于包括可以轻微数据的SQL注入和难以利用的SQL注入，普通的越权操作以及设计缺陷和流程缺陷
（3）可导致资源滥用或做成对用户骚扰的漏洞，包括但不限于：短信炸弹、邮件炸弹等。

【低危】
（1）包括但不限于有利用价值的反射型 XSS（代码出现在script标签内）、轻微的信息泄露，包括但不限于路径泄露、无敏感信息的源代码泄露、PHPINFO、SVN等
（2）本地拒绝服务漏洞。包括但不限于客户端本地拒绝服务（解析文件格式、网络协议产生的崩溃）

【无影响】
（1）无法影响其他用户的漏洞包括但不限于self~xss、url跳转
（2）无法利用的漏洞，包括但不限于版本过低
（3）无关安全的BUG，包括但不限于功能无法使用、网页乱码，应用兼容性等问题

3.2应用系数说明
ZSRC将从Web应用和移动客户端应用两方面，根据应用重要程度将应用等级划分为三个等级：【核心应用】、【一般应用】、【边缘应用】

【Web应用】
1、核心应用系数为10：核心业务涉及平台用户、资金、交易、店铺的应用；
2、一般应用系数为4： 核心业务中不涉及平台用户、资金、交易、店铺的应用，以及一般业务的核心应用；
3、边缘应用系数为1： 一般业务中的非核心应用，以及边缘业务拥有的应用
核心业务：猪八戒网主站、八戒知识产权、八戒财税、筋斗云、八戒招聘、八戒公采
一般业务：八戒严选、八戒工场、交易中心、八戒科技服务、八戒城市、八戒软件、八戒广告、八戒云、八戒电子合同、服务百科、八戒大赛、八戒游戏、工具市场、服务购、八戒金融、八戒校园、规则中心、帮助中心、会员中心、诚信管理中心、八戒110、隐私小号、八戒数据、八戒圈、八戒课堂、八戒旺铺、园区云
边缘业务：洋镖局、路标网、思博网、酷版权以及以上未提及的后缀域名为*.zbj.com的域名

【移动客户端应用】
1、核心应用系数为10：猪八戒网、猪八戒速配版
2、边缘应用系数为1：思博


四、奖励规则
1、奖励只针对通过猪八戒网安全应急响应平台、安全应急中心邮箱sec@zbj.com提交漏洞的白帽子。
2、奖励仅支持可威胁到猪八戒业务和业务相关的情报，与猪八戒无关的情报，将不给予奖励。
3、对于相同的漏洞报告，将给予首位提交者奖励，其余提交者不给予奖励。
4、同一份报告中提交多个漏洞，只按危害级别最高的漏洞给予奖励。
5、由于情报的时效性，报告已知或已失效的情报不给予奖励。
6、网上已公开的漏洞不给予奖励。
7、在漏洞修复之前，被公开的漏洞不给予奖励。

4.1奖励发放原则
（1）常规奖励：
奖品使用猪币兑换，1猪币=10RMB，猪币数量由漏洞等级乘以相应的危害系数计算得出，猪币不会过期；
礼品兑换后ZSRC工作人员将会联系您核对信息；
如因礼品兑换者个人过失、快递公司问题及人力不可抗拒因素导致的奖品损坏或丢失，猪八戒网安全应急响应中心不承担责任。
（2）特殊奖励：
猪八戒网安全应急响应中心将不定期举行特殊活动，活动期间请参照活动奖励；
（3）特别提醒：
对于猪八戒网的员工，请至内部平台提交漏洞，在猪八戒网安全应急响应中心提交的安全漏洞不予奖励。

五、其他
1、恶意提交者将作封号处理
2、漏洞等级会根据不同业务系统重要程度进行升级或者降级
3、漏洞奖励计划的解释权归猪八戒网安全应急响应中心所有

六、争议解决方法
在漏洞报告处理过程中，如果报告者对流程处理、漏洞定级、漏洞评分等有异议的，可以通过以下方式联系猪八戒网安全应急响应中心的工作人员
（1） 通过猪八戒网安全应急响应中心（https://security.zbj.com/）与工作人员留言。
（2） 邮箱：sec@zbj.com进行及时有效的沟通。
（3） 搜索微信公众号（猪八戒网安全应急响应中心）进行留言。
猪八戒网安全应急响应中心ZSRC将按照漏洞报告者利益优先的原则处理。

注：【ZSRC-2022-001】猪八戒网安全应急响应中心漏洞处理流程和评分标准V8同时废止。

该规范自发布之日起，到下一次发布日执行

一、基本原则
1. 猪八戒网非常重视自身产品和业务的安全问题，我们承诺，对每一份报告都会有专门安全人员进行评估、跟进并及时反馈最新的处理结果。
2. 我们承诺对每位恪守“白帽子精神”，保护用户利益，并且会给予反馈安全漏洞的白帽子奖励。
3. 我们严禁一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益的恶意为。
4. 我们认为每个安全漏洞的处理和整个安全行业的进步，都离不开业界各方的共同合作。我们欢迎各安全人士一起为猪八戒网建设安全健康的互联网环境保驾护航。

二、漏洞反馈流程和处理流程
1.注册账号。请各位白帽子注册（https://account.zbj.com/register）猪八戒网账号，并完善资料（请确保资料正确，方便后续奖励发放）。
2.报告。请登陆指定平台提交漏洞信息（请务必详尽，按照提示进行漏洞描述，并在漏洞修复之前不要对外传播）。
3.处理。猪八戒网安全应急响应中心工作人员会尽快审核漏洞，必要时会联系用户了解情况。
4.致谢。猪八戒网安全应急响应中心将根据贡献值给予漏洞报告者以奖励（详见安全漏洞评分标准）

三、安全漏洞评分标准
计算公式: 猪币 = 漏洞等级 * 应用系数
(注：猪币即积分)
猪币:人民币=1:10
猪币对应表：


3.1漏洞等级：
ZSRC根据漏洞的危害程度将漏洞等级分为五个等级：【严重】、【高危】、【中危】、【低危】、【无影响】。 由ZSRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的猪币和漏洞等级，猪币可用于礼品兑换。每种等级包含的评分标准及漏洞类型如下：

【严重】
（1）严重的敏感信息泄露，包括但不限于可以获取重要如包含重要服务口令数据的 SQL 注入漏洞（如用户帐号密码）、以及任意文件读取和下载漏洞（如包含重要服务口令）等
（2）严重的逻辑漏洞，包括但不限于任意账号登陆、任意账号密码修改、支付绕过漏洞、以任意人身份敏感操作等
（3）远程直接获取系统权限的漏洞（服务端和客户端），包括但不限于远程任意命令执行、代码执行、任意文件上传获取 webshell、缓冲区溢出、SQL注入获取系统权限等

【高危】
（1）大范围影响用户的漏洞，包含但不限于容易利用的存储型XSS、CSRF等
（2）高风险的信息泄露，包括但不限于可以利用的源代码泄露、可以获取一般数据的 SQL 注入漏洞、以及任意文件读取和下载漏洞等
（3）越权访问重要应用系统，包括但不限于绕过验证直接访问管理后台、后台登录弱口令且有实际性权限或重要敏感信息、以及其他服务的弱口令等

【中危】
（1）需要条件才能获取用户身份信息的漏洞（如交互）。包括但不限于JSON Hijacking、CSRF、普通业务的存储型 XSS
（2）普通的信息泄露，包括但不限于包括可以轻微数据的SQL注入和难以利用的SQL注入，普通的越权操作以及设计缺陷和流程缺陷
（3）可导致资源滥用或做成对用户骚扰的漏洞，包括但不限于：短信炸弹、邮件炸弹等。

【低危】
（1）包括但不限于反射型 XSS（包括反射型 DOM~XSS）、轻微的信息泄露，包括但不限于路径泄露、无敏感信息的源代码泄露、PHPINFO、SVN等
（2）URL跳转漏洞，客户端用户名密码明文存储，以及网络明文密码传输
（3）本地拒绝服务漏洞。包括但不限于客户端本地拒绝服务（解析文件格式、网络协议产生的崩溃）
（4）边缘业务低危漏洞，如url跳转、CSRF、反射型XSS

【无影响】
（1）无法影响其他用户的漏洞包括但不限于self~xss
（2）无法利用的漏洞，包括但不限于版本过低
（3）无关安全的BUG，包括但不限于功能无法使用、网页乱码，应用兼容性等问题
（4）边缘业务低危漏洞，如url跳转、CSRF、反射型XSS

3.2应用系数说明
ZSRC将从Web应用和移动客户端应用两方面，根据应用重要程度将应用等级划分为三个等级：【核心应用】、【一般应用】、【边缘应用】

【Web应用】
1、核心应用系数为10：核心业务涉及平台用户、资金、交易、店铺的应用；
2、一般应用系数为4： 核心业务中不涉及平台用户、资金、交易、店铺的应用，以及一般业务的核心应用；
3、边缘应用系数为1： 一般业务中的非核心应用，以及边缘业务拥有的应用
核心业务：猪八戒网主站、八戒知识产权、八戒财税、筋斗云、八戒招聘、八戒公采
一般业务：八戒严选、八戒工场、交易中心、八戒科技服务、八戒城市、八戒软件、八戒广告、八戒云、八戒电子合同、服务百科、八戒大赛、八戒游戏、工具市场、服务购、八戒金融、八戒校园、规则中心、帮助中心、会员中心、诚信管理中心、八戒110、隐私小号、八戒数据、八戒圈、八戒课堂、八戒旺铺、园区云
边缘业务：路标网、思博网、酷版权以及以上未提及的后缀域名为*.zbj.com的域名

【移动客户端应用】
1、核心应用系数为10：猪八戒网
2、边缘应用系数为1：思博


四、奖励规则
1、奖励只针对通过猪八戒网安全应急响应平台、安全应急中心邮sec@zbj.com提交漏洞的白帽子。
2、奖励仅支持可威胁到猪八戒业务和业务相关的情报，与猪八戒无关的情报，将不给予奖励。
3、对于相同的漏洞报告，将给予首位提交者奖励，其余提交者不给予奖励。
4、同一份报告中提交多个漏洞，只按危害级别最高的漏洞给予奖励。
5、由于情报的时效性，报告已知或已失效的情报不给予奖励。
6、网上已公开的漏洞不给予奖励。
7、在漏洞修复之前，被公开的漏洞不给予奖励。

4.1奖励发放原则
（1）常规奖励：
奖品使用猪币兑换，1猪币=10RMB，猪币数量由漏洞等级乘以相应的危害系数计算得出，猪币不会过期；
礼品兑换后ZSRC工作人员将会联系您核对信息；
如因礼品兑换者个人过失、快递公司问题及人力不可抗拒因素导致的奖品损坏或丢失，猪八戒网安全应急响应中心不承担责任。
（2）特殊奖励：
猪八戒网安全应急响应中心将不定期举行特殊活动，活动期间请参照活动奖励；
（3）特别提醒：
对于猪八戒网的员工，请至内部平台提交漏洞，在猪八戒网安全应急响应中心提交的安全漏洞不予奖励。

五、其他
1、恶意提交者将作封号处理
2、漏洞等级会根据不同业务系统重要程度进行升级或者降级
3、漏洞奖励计划的解释权归猪八戒网安全应急响应中心所有

六、争议解决方法
在漏洞报告处理过程中，如果报告者对流程处理、漏洞定级、漏洞评分等有异议的，可以通过以下方式联系猪八戒网安全应急响应中心的工作人员
（1） 通过猪八戒网安全应急响应中心（https://security.zbj.com/）与工作人员留言。
（2） 邮箱：sec@zbj.com进行及时有效的沟通。
（3） 搜索微信公众号（猪八戒网安全应急响应中心）进行留言。
猪八戒网安全应急响应中心ZSRC将按照漏洞报告者利益优先的原则处理。

注：【ZSRC-2020-003】猪八戒网安全应急响应中心漏洞处理流程和评分标准V7同时废止。

致各位亲爱的白帽子：
Apache Log4j2远程代码执行漏洞内部首轮修复已经完成，鉴于此漏洞影响链路较长，范围较广难免存在遗漏，为了更好的保证平台安全，即日起ZSRC恢复接收Apache Log4j2相关的远程代码执行漏洞，请各位白帽子在验证和测试过程中请严格准遵守《猪八戒网白帽用户许可协议》相关规定，测试过程中请务必保持登录状态，否则可能导致测试不成功。漏洞描述中请包括以下信息：数据提交的入口、POC内容、dns验证截图（获取主机名、版本等特征信息）以便于审核人员进行漏洞复现，漏洞评估标准按照【猪八戒网安全应急响应中心漏洞处理流程和评分标准V7】执行！

致各位亲爱的白帽子：

Log4j2远程代码执行 漏洞ZSRC内部已知，鉴于该漏洞的影响范围比较大，业务自查及升级修复需要一定时间，根据ZSRC的评分标准，暂不接收Log4j2相关的远程代码执行漏洞，重新接收时间将另行通知，谢谢！

猪八戒股份有限公司（简称“猪八戒网”）是全国最大的在线服务交易平台，猪八戒网一直对自身产品和业务的安全问题非常重视，也一直致力于保障用户安全，非常欢迎广大白帽子向我们反馈猪八戒网相关产品和业务的安全漏洞，以帮助我们提升产品和业务的安全性。

一、漏洞反馈流程和处理流程
1.1 注册账号。白帽子注册猪八戒网账号，并完善资料（请确保资料正确）
1.2 报告。白帽子报告漏洞信息（请务必详尽，并在漏洞修复之前不要对外传播）
1.3 处理。猪八戒网安全应急响应中心工作人员审核漏洞，必要时会联系用户了解情况
1.4 致谢。猪八戒网安全应急响应中心将根据贡献值给予漏洞报告者以奖励（详见奖励计算方法和漏洞评级规则）

二、奖励计算方法
猪币计算公式:猪币 = 漏洞等级 * 应用系数
猪币对应表：


猪币:人民币=1:10

三、漏洞等级：
ZSRC根据漏洞的危害程度将漏洞等级分为五个等级：【严重】、【高危】、【中危】、【低危】、【无影响】。 由ZSRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的猪币和漏洞等级，猪币可用于礼品兑换。每种等级包含的评分标准及漏洞类型如下：

3.1 严重漏洞
严重的敏感信息泄露，包括但不限于可以获取重要如包含重要服务口令数据的 SQL 注入漏洞（如用户帐号密码）、以及任意文件读取和下载漏洞（如包含重要服务口令）等
严重的逻辑漏洞，包括但不限于任意账号登陆、任意账号密码修改、支付绕过漏洞、以任意人身份敏感操作等
远程直接获取系统权限的漏洞（服务端和客户端），包括但不限于远程任意命令执行、代码执行、任意文件上传获取 webshell、缓冲区溢出、SQL注入获取系统权限等

3.2 高危漏洞
大范围影响用户的漏洞，包含但不限于容易利用的存储型XSS、CSRF等
高风险的信息泄露，包括但不限于可以利用的源代码泄露、可以获取一般数据的 SQL 注入漏洞、以及任意文件读取和下载漏洞等
越权访问重要应用系统，包括但不限于绕过验证直接访问管理后台、后台登录弱口令且有实际性权限或重要敏感信息、以及其他服务的弱口令等

3.3 中危漏洞
需要条件才能获取用户身份信息的漏洞（如交互）。包括但不限于JSON Hijacking、CSRF、普通业务的存储型 XSS
普通的信息泄露，包括但不限于包括可以轻微数据的SQL注入和难以利用的SQL注入，普通的越权操作以及设计缺陷和流程缺陷
可导致资源滥用或做成对用户骚扰的漏洞，包括但不限于：短信炸弹、邮件炸弹等。

3.4 低危漏洞
包括但不限于反射型 XSS（包括反射型 DOM~XSS）、轻微的信息泄露，包括但不限于路径泄露、无敏感信息的源代码泄露、PHPINFO、SVN等
URL跳转漏洞，客户端用户名密码明文存储，以及网络明文密码传输
本地拒绝服务漏洞。包括但不限于客户端本地拒绝服务（解析文件格式、网络协议产生的崩溃）
边缘业务低危漏洞，如url跳转、CSRF、反射型XSS

3.5 无影响漏洞及忽略漏洞
无法影响其他用户的漏洞包括但不限于self~xss
无法利用的漏洞，包括但不限于版本过低
无关安全的BUG，包括但不限于功能无法使用、网页乱码，应用兼容性等问题
边缘业务低危漏洞，如url跳转、CSRF、反射型XSS

四、应用系数
ZSRC根据应用重要程度将应用等级划分为三个等级：【核心应用】、【一般应用】、【边缘应用】

【Web应用】
1、核心应用系数为10：核心业务涉及平台用户、资金、交易、店铺的应用；
2、一般应用系数为4： 核心业务中不涉及平台用户、资金、交易、店铺的应用，以及一般业务的核心应用；
3、边缘应用系数为1： 一般业务中的非核心应用，以及边缘业务拥有的应用
核心业务：猪八戒网主站、八戒知识产权、八戒财税
一般业务：八戒严选、八戒工场、交易中心、八戒科技服务、八戒城市、八戒软件、八戒广告、八戒云、八戒电子合同、服务百科、八戒大赛、八戒游戏、工具市场、服务购、八戒金融、八戒招聘、八戒校园、规则中心、帮助中心、会员中心、诚信管理中心、八戒110、八戒公采、隐私小号、八戒数据、八戒圈、八戒课堂、八戒旺铺
边缘业务：路标网、思博网、酷版权以及以上未提及的后缀域名为*.zbj.com的域名

【移动客户端应用】
1、核心应用系数为10：猪八戒网、钉耙、八戒金融、火眼金睛等核心业务的移动客户端应用；
2、边缘应用系数为1：除以上核心业务之外的所有移动客户端应用


六、奖励规则
1、奖励只针对通过猪八戒网安全应急响应平台、安全应急中心邮箱sec@zbj.com提交漏洞的白帽子。
2、奖励仅支持可威胁到猪八戒业务和业务相关的情报，与猪八戒无关的情报，将不给予奖励。
3、对于相同的漏洞报告，将给予首位提交者奖励，其余提交者不给予奖励。
4、网上已公开的漏洞不给予奖励。
5、在漏洞修复之前，被公开的漏洞不给予奖励。

七、其他
1、恶意提交者将作封号处理
2、漏洞等级会根据不同业务系统重要程度进行升级或者降级
3、漏洞奖励计划的解释权归猪八戒网安全应急响应中心所有

八、争议解决方法
在漏洞报告处理过程中，如果报告者对流程处理、漏洞定级、漏洞评分等有异议的，可以通过联系ZSRC工作人员或邮箱sec@zbj.com进行及时有效的沟通。ZSRC将按照漏洞报告者利益优先的原则处理。

注：猪八戒网安全应急响应中心漏洞处理流程和评分标准V6同时废止。

猪八戒股份有限公司（简称“猪八戒网”）是全国最大的在线服务交易平台，猪八戒网一直对自身产品和业务的安全问题非常重视，也一直致力于保障用户安全，非常欢迎广大白帽子向我们反馈猪八戒网相关产品和业务的安全漏洞，以帮助我们提升产品和业务的安全性。

一、漏洞反馈流程和处理流程
1.1 注册账号。白帽子注册猪八戒网账号，并完善资料（请确保资料正确）
1.2 报告。白帽子报告漏洞信息（请务必详尽，并在漏洞修复之前不要对外传播）
1.3 处理。猪八戒网安全应急响应中心工作人员审核漏洞，必要时会联系用户了解情况
1.4 致谢。猪八戒网安全应急响应中心将根据贡献值给予漏洞报告者以奖励（详见奖励计算方法和漏洞评级规则）

二、奖励计算方法
猪币计算公式:猪币 = 漏洞等级 * 应用系数
猪币对应表：


猪币:人民币=1:10

三、漏洞等级：
ZSRC根据漏洞的危害程度将漏洞等级分为五个等级：【严重】、【高危】、【中危】、【低危】、【无影响】。 由ZSRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的猪币和漏洞等级，猪币可用于礼品兑换。每种等级包含的评分标准及漏洞类型如下：

3.1 严重漏洞
严重的敏感信息泄露，包括但不限于可以获取重要如包含重要服务口令数据的 SQL 注入漏洞（如用户帐号密码）、以及任意文件读取和下载漏洞（如包含重要服务口令）等
严重的逻辑漏洞，包括但不限于任意账号登陆、任意账号密码修改、支付绕过漏洞、以任意人身份敏感操作等
远程直接获取系统权限的漏洞（服务端和客户端），包括但不限于远程任意命令执行、代码执行、任意文件上传获取 webshell、缓冲区溢出、SQL注入获取系统权限等

3.2 高危漏洞
大范围影响用户的漏洞，包含但不限于容易利用的存储型XSS、CSRF等
高风险的信息泄露，包括但不限于可以利用的源代码泄露、可以获取一般数据的 SQL 注入漏洞、以及任意文件读取和下载漏洞等
越权访问重要应用系统，包括但不限于绕过验证直接访问管理后台、后台登录弱口令且有实际性权限或重要敏感信息、以及其他服务的弱口令等

3.3 中危漏洞
需要条件才能获取用户身份信息的漏洞（如交互）。包括但不限于JSON Hijacking、CSRF、普通业务的存储型 XSS
普通的信息泄露，包括但不限于包括可以轻微数据的SQL注入和难以利用的SQL注入，普通的越权操作以及设计缺陷和流程缺陷
可导致资源滥用或做成对用户骚扰的漏洞，包括但不限于：短信炸弹、邮件炸弹等。

3.4 低危漏洞
包括但不限于反射型 XSS（包括反射型 DOM~XSS）、轻微的信息泄露，包括但不限于路径泄露、无敏感信息的源代码泄露、PHPINFO、SVN等
URL跳转漏洞，客户端用户名密码明文存储，以及网络明文密码传输
本地拒绝服务漏洞。包括但不限于客户端本地拒绝服务（解析文件格式、网络协议产生的崩溃）
确定的安全隐患但是难以利用的漏洞

3.5 无影响漏洞（忽略）
无法影响其他用户的漏洞包括但不限于self~xss
无法利用的漏洞，包括但不限于版本过低
无关安全的BUG，包括但不限于功能无法使用、网页乱码，应用兼容性等问题
无意义的CSRF攻击或危害相对较低的CSRF

四、应用系数
ZSRC根据应用重要程度将应用等级划分为三个等级：【核心应用】、【一般应用】、【边缘应用】

【Web应用】
1、核心应用系数为10：核心业务涉及平台用户、资金、交易、店铺的应用；
2、一般应用系数为4： 核心业务中不涉及平台用户、资金、交易、店铺的应用，以及一般业务的核心应用；
3、边缘应用系数为1： 一般业务中的非核心应用，以及边缘业务拥有的应用
核心业务：猪八戒网主站、八戒知识产权、八戒财税
一般业务：八戒严选、八戒工场、交易中心、八戒科技服务、八戒城市、八戒软件、八戒广告、八戒云、八戒电子合同、服务百科、八戒大赛、八戒游戏、工具市场、服务购、八戒金融、八戒招聘、八戒校园、规则中心、帮助中心、会员中心、诚信管理中心、八戒110、八戒公采、隐私小号、八戒数据、八戒圈、八戒课堂、八戒旺铺
边缘业务：路标网、思博网、酷版权以及以上未提及的后缀域名为*.zbj.com的域名

【移动客户端应用】
1、核心应用系数为10：猪八戒网、钉耙、八戒金融、火眼金睛等核心业务的移动客户端应用；
2、边缘应用系数为1：除以上核心业务之外的所有移动客户端应用


六、奖励规则
1、奖励只针对通过猪八戒网安全应急响应平台、安全应急中心邮箱sec@zbj.com提交漏洞的白帽子。
2、奖励仅支持可威胁到猪八戒业务和业务相关的情报，与猪八戒无关的情报，将不给予奖励。
3、对于相同的漏洞报告，将给予首位提交者奖励，其余提交者不给予奖励。
4、网上已公开的漏洞不给予奖励。
5、在漏洞修复之前，被公开的漏洞不给予奖励。

七、其他
1、恶意提交者将作封号处理
2、漏洞等级会根据不同业务系统重要程度进行升级或者降级
3、漏洞奖励计划的解释权归猪八戒网安全应急响应中心所有

八、争议解决方法
在漏洞报告处理过程中，如果报告者对流程处理、漏洞定级、漏洞评分等有异议的，可以通过联系ZSRC工作人员或邮箱sec@zbj.com进行及时有效的沟通。ZSRC将按照漏洞报告者利益优先的原则处理。

注：猪八戒网安全应急响应中心漏洞处理流程和评分标准V5同时废止。

猪八戒股份有限公司（简称“猪八戒网”）是全国最大的在线服务交易平台，猪八戒网一直对自身产品和业务的安全问题非常重视，也一直致力于保障用户安全，非常欢迎广大白帽子向我们反馈猪八戒网相关产品和业务的安全漏洞，以帮助我们提升产品和业务的安全性。

一、漏洞反馈流程和处理流程
1.1 注册账号。白帽子注册猪八戒网账号，并完善资料（请确保资料正确）
1.2 报告。白帽子报告漏洞信息（请务必详尽，并在漏洞修复之前不要对外传播）
1.3 处理。猪八戒网安全应急响应中心工作人员审核漏洞，必要时会联系用户了解情况
1.4 致谢。猪八戒网安全应急响应中心将根据贡献值给予漏洞报告者以奖励（详见奖励计算方法和漏洞评级规则）

二、奖励计算方法
猪币计算公式:猪币 = 漏洞等级 * 应用系数
猪币对应表：

猪币:人民币=1:10

三、漏洞等级：
ZSRC根据漏洞的危害程度将漏洞等级分为五个等级：【严重】、【高危】、【中危】、【低危】、【无影响】。 由ZSRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的猪币和漏洞等级，猪币可用于礼品兑换。每种等级包含的评分标准及漏洞类型如下：

3.1 严重漏洞
严重的敏感信息泄露，包括但不限于可以获取重要如包含重要服务口令数据的 SQL 注入漏洞（如用户帐号密码）、以及任意文件读取和下载漏洞（如包含重要服务口令）等
严重的逻辑漏洞，包括但不限于任意账号登陆、任意账号密码修改、支付绕过漏洞、以任意人身份敏感操作等
远程直接获取系统权限的漏洞（服务端和客户端），包括但不限于远程任意命令执行、代码执行、任意文件上传获取 webshell、缓冲区溢出、SQL注入获取系统权限等

3.2 高危漏洞
大范围影响用户的漏洞，包含但不限于容易利用的存储型XSS、CSRF等
高风险的信息泄露，包括但不限于可以利用的源代码泄露、可以获取一般数据的 SQL 注入漏洞、以及任意文件读取和下载漏洞等
越权访问重要应用系统，包括但不限于绕过验证直接访问管理后台、后台登录弱口令且有实际性权限或重要敏感信息、以及其他服务的弱口令等

3.3 中危漏洞
需要条件才能获取用户身份信息的漏洞（如交互）。包括但不限于JSON Hijacking、CSRF、普通业务的存储型 XSS
普通的信息泄露，包括但不限于包括可以轻微数据的SQL注入和难以利用的SQL注入，普通的越权操作以及设计缺陷和流程缺陷
可导致资源滥用或做成对用户骚扰的漏洞，包括但不限于：短信炸弹、邮件炸弹等。

3.4 低危漏洞
包括但不限于反射型 XSS（包括反射型 DOM~XSS）、轻微的信息泄露，包括但不限于路径泄露、无敏感信息的源代码泄露、PHPINFO、SVN等
URL跳转漏洞，客户端用户名密码明文存储，以及网络明文密码传输
本地拒绝服务漏洞。包括但不限于客户端本地拒绝服务（解析文件格式、网络协议产生的崩溃）
确定的安全隐患但是难以利用的漏洞

3.5 无影响漏洞（忽略）
无法影响其他用户的漏洞包括但不限于self~xss
无法利用的漏洞，包括但不限于版本过低
无关安全的BUG，包括但不限于功能无法使用、网页乱码，应用兼容性等问题
无意义的CSRF攻击或危害相对较低的CSRF

四、应用系数
ZSRC根据应用重要程度将应用等级划分为三个等级：【核心应用】、【一般应用】、【边缘应用】

【Web应用】
1、核心应用系数为10：核心业务涉及平台用户、资金、交易、店铺的应用；
2、一般应用系数为4： 核心业务中不涉及平台用户、资金、交易、店铺的应用，以及一般业务的核心应用；
3、边缘应用系数为1： 一般业务中的非核心应用，以及边缘业务拥有的应用
核心业务：猪八戒网主站、八戒知识产权、八戒财税、八戒严选、八戒工场
一般业务：八戒火眼金睛、交易中心、八戒科技服务、八戒城市、八戒软件、八戒广告、八戒云、八戒电子合同、服务百科、八戒大赛、天蓬网、八戒游戏、工具市场、服务购、八戒金融、八戒招聘、八戒校园、规则中心、帮助中心、会员中心、诚信管理中心、八戒110、八戒公采、隐私小号、八戒数据、八戒圈、八戒课堂、八戒旺铺
边缘业务：路标网、思博网、酷版权以及以上未提及的后缀域名为*.zbj.com的域名

【移动客户端应用】
1、核心应用系数为10：猪八戒网、钉耙、八戒金融、火眼金睛等核心业务的移动客户端应用；
2、边缘应用系数为1：除以上核心业务之外的所有移动客户端应用


六、奖励规则
1、奖励只针对通过猪八戒网安全应急响应平台、安全应急中心邮箱sec@zbj.com提交漏洞的白帽子。
2、奖励仅支持可威胁到猪八戒业务和业务相关的情报，与猪八戒无关的情报，将不给予奖励。
3、对于相同的漏洞报告，将给予首位提交者奖励，其余提交者不给予奖励。
4、网上已公开的漏洞不给予奖励。
5、在漏洞修复之前，被公开的漏洞不给予奖励。

七、其他
1、恶意提交者将作封号处理
2、漏洞等级会根据不同业务系统重要程度进行升级或者降级
3、漏洞奖励计划的解释权归猪八戒网安全应急响应中心所有

八、争议解决方法
在漏洞报告处理过程中，如果报告者对流程处理、漏洞定级、漏洞评分等有异议的，可以通过联系ZSRC工作人员或邮箱sec@zbj.com进行及时有效的沟通。ZSRC将按照漏洞报告者利益优先的原则处理。

注：猪八戒网安全应急响应中心漏洞处理流程和评分标准V4同时废止。

由于公司业务调整，ZSRC将不再接收以下域名的安全漏洞，请各位白帽子知晓。

【涉及域名包括但不限于】：

八戒印刷——ys.zbj.com

八戒3D云设计——ysj.zbj.com

八戒3D——u.vr.zbj.com、3d.zbj.com

八戒装修——zx.zbj.com

八戒工程——gc.zbj.com

思博资料——d.mysipo.com

思博论坛——bbs.mysipo.com

依服宝——www.efubao.com

自由职业者大会——tfc.zbj.com

猪八戒网智能客服——zbj.faqrobot.cn

八戒翻译——fanyi.zbj.com


【移动客户端应用】：

手机天蓬网

八戒教育

八戒兼职

八戒工程抢单宝

八戒家装


后续如有调整，将在此文章中更新。

如有疑问，欢迎联系我们。

本说明的最终解释权归猪八戒网安全应急响应中心所有。

重庆猪八戒网络有限公司（简称“猪八戒网”）是全国最大的在线服务交易平台，猪八戒网一直对自身产品和业务的安全问题非常重视，也一直致力于保障用户安全，非常欢迎广大白帽子向我们反馈猪八戒网相关产品和业务的安全漏洞，以帮助我们提升产品和业务的安全性。

一、漏洞反馈流程和处理流程
1.1 注册账号。白帽子注册猪八戒网账号，并完善资料（请确保资料正确）
1.2 报告。白帽子报告漏洞信息（请务必详尽，并在漏洞修复之前不要对外传播）
1.3 处理。猪八戒网安全应急响应中心工作人员审核漏洞，必要时会联系用户了解情况
1.4 致谢。猪八戒网安全应急响应中心将根据贡献值给予漏洞报告者以奖励（详见奖励计算方法和漏洞评级规则）

二、奖励计算方法
猪币计算公式:猪币 = 漏洞等级 * 应用系数
猪币对应表：

猪币:人民币=1:10

三、漏洞等级：
ZSRC根据漏洞的危害程度将漏洞等级分为五个等级：【严重】、【高危】、【中危】、【低危】、【无影响】。 由ZSRC结合利用场景中漏洞的严重程度、利用难度等综合因素给予相应分值的猪币和漏洞等级，猪币可用于礼品兑换。每种等级包含的评分标准及漏洞类型如下：

3.1 严重漏洞
严重的敏感信息泄露，包括但不限于可以获取重要如包含重要服务口令数据的 SQL 注入漏洞（如用户帐号密码）、以及任意文件读取和下载漏洞（如包含重要服务口令）等
严重的逻辑漏洞，包括但不限于任意账号登陆、任意账号密码修改、支付绕过漏洞、以任意人身份敏感操作等
远程直接获取系统权限的漏洞（服务端和客户端），包括但不限于远程任意命令执行、代码执行、任意文件上传获取 webshell、缓冲区溢出、SQL注入获取系统权限等

3.2 高危漏洞
大范围影响用户的漏洞，包含但不限于容易利用的存储型XSS、CSRF等
高风险的信息泄露，包括但不限于可以利用的源代码泄露、可以获取一般数据的 SQL 注入漏洞、以及任意文件读取和下载漏洞等
越权访问重要应用系统，包括但不限于绕过验证直接访问管理后台、后台登录弱口令且有实际性权限或重要敏感信息、以及其他服务的弱口令等

3.3 中危漏洞
需要条件才能获取用户身份信息的漏洞（如交互）。包括但不限于JSON Hijacking、CSRF、普通业务的存储型 XSS
普通的信息泄露，包括但不限于包括可以轻微数据的SQL注入和难以利用的SQL注入，普通的越权操作以及设计缺陷和流程缺陷
可导致资源滥用或做成对用户骚扰的漏洞，包括但不限于：短信炸弹、邮件炸弹等。

3.4 低危漏洞
包括但不限于反射型 XSS（包括反射型 DOM~XSS）、轻微的信息泄露，包括但不限于路径泄露、无敏感信息的源代码泄露、PHPINFO、SVN等
URL跳转漏洞，客户端用户名密码明文存储，以及网络明文密码传输
本地拒绝服务漏洞。包括但不限于客户端本地拒绝服务（解析文件格式、网络协议产生的崩溃）
确定的安全隐患但是难以利用的漏洞

3.5 无影响漏洞（忽略）
无法影响其他用户的漏洞包括但不限于self~xss
无法利用的漏洞，包括但不限于版本过低
无关安全的BUG，包括但不限于功能无法使用、网页乱码，应用兼容性等问题
无意义的CSRF攻击或危害相对较低的CSRF

四、应用系数
ZSRC根据应用重要程度将应用等级划分为三个等级：【核心应用】、【一般应用】、【边缘应用】

【Web应用】
1、核心应用系数为10：核心业务涉及平台用户、资金、交易、店铺的应用；
2、一般应用系数为4： 核心业务中不涉及平台用户、资金、交易、店铺的应用，以及一般业务的核心应用；
3、边缘应用系数为1： 一般业务中的非核心应用，以及边缘业务拥有的应用
核心业务：猪八戒网主站、天蓬网主站、八戒知识产权、八戒财税，八戒金融
一般业务：天蓬国际、八戒国际站、八戒科技服务、八戒涉外知识产权、八戒城市、政府采购、企业采购、八戒软件,八戒金石、诚信管理中心、八戒云、酷版权、猪八戒电子合同、八戒法律、八戒合伙人、顾问平台、雇主俱乐部、服务百科、八戒翻译、八戒工厂
边缘业务：路标网、思博网以及以上未提及的后缀域名为*.zbj.com的域名

【移动客户端应用】
1、核心应用系数为10：猪八戒网、天蓬网、钉耙，八戒金融等核心业务的移动客户端应用；
2、边缘应用系数为1：除以上核心业务之外的所有移动客户端应用

六、奖励规则
1、奖励只针对通过猪八戒网安全应急响应平台、安全应急中心邮箱sec@zbj.com提交漏洞的白帽子。
2、奖励仅支持可威胁到猪八戒业务和业务相关的情报，与猪八戒无关的情报，将不给予奖励。
3、对于相同的漏洞报告，将给予首位提交者奖励，其余提交者不给予奖励。
4、网上已公开的漏洞不给予奖励。
5、在漏洞修复之前，被公开的漏洞不给予奖励。

七、其他
1、恶意提交者将作封号处理
2、漏洞等级会根据不同业务系统重要程度进行升级或者降级
3、漏洞奖励计划的解释权归猪八戒网安全应急响应中心所有

八、争议解决方法
在漏洞报告处理过程中，如果报告者对流程处理、漏洞定级、漏洞评分等有异议的，可以通过联系ZSRC工作人员或邮箱sec@zbj.com进行及时有效的沟通。ZSRC将按照漏洞报告者利益优先的原则处理。

注：猪八戒网安全应急响应中心漏洞处理流程和评分标准V3同时废止。

重庆猪八戒网络有限公司（简称“猪八戒网”）是全国最大的在线服务交易平台，猪八戒网一直对自身产品和业务的安全问题非常重视，也一直致力于保障用户安全，非常欢迎广大白帽子向我们反馈猪八戒网相关产品和业务的安全漏洞，以帮助我们提升产品和业务的安全性。

一、漏洞反馈流程和处理流程
1、注册。白帽子注册猪八戒网账号，并完善资料（请确保资料正确）
2、报告。白帽子报告漏洞信息（请务必详尽，并在漏洞修复之前不要对外传播）
3、处理。猪八戒网安全应急响应中心工作人员审核漏洞，必要时会联系用户了解情况
4、致谢。猪八戒网安全应急响应中心将根据贡献值给予漏洞报告者以奖励（详见奖励计算方法和漏洞评级规则）

二、奖励计算方法
等价值现金计算公式 = 威胁系数 * 完整性系数

2.1 威胁系数
威胁系数计算公式：威胁系数 = 业务系数 x 漏洞对应危害程度


2.2 对应等价值现金（按照完整性系数为10计算）
完整性系数：1~10（最不完整：1 ~ 最完整：10）


三、漏洞等级
ZSRC根据漏洞的危害程度将漏洞等级分为五个等级：【严重】、【高危】、【中危】、【低危】、【无影响】。

3.1 严重漏洞
严重的敏感信息泄露，包括但不限于可以获取重要如包含重要服务口令数据的 SQL 注入漏洞（如用户帐号密码）、以及任意文件读取和下载漏洞（如包含重要服务口令）等
严重的逻辑漏洞，包括但不限于任意账号登陆、任意账号密码修改、支付绕过漏洞、以任意人身份敏感操作等
远程直接获取系统权限的漏洞（服务端和客户端），包括但不限于远程任意命令执行、代码执行、任意文件上传获取 webshell、缓冲区溢出、SQL注入获取系统权限等

3.2 高危漏洞
大范围影响用户的漏洞，包含但不限于容易利用的存储型 XSS、CSRF 等
高风险的信息泄露，包括但不限于可以利用的源代码泄露、可以获取一般数据的 SQL 注入漏洞、以及任意文件读取和下载漏洞等
越权访问，包括但不限于绕过验证直接访问后台、后台登录弱口令、以及其他服务的弱口令等

3.3 中危漏洞
需要条件才能获取用户身份信息的漏洞（如交互）。包括但不限于JSON Hijacking、CSRF、普通业务的存储型 XSS
普通的信息泄露，包括但不限于包括可以轻微数据的SQL注入和难以利用的SQL注入，普通的越权操作以及设计缺陷和流程缺陷

3.4 低危漏洞
包括但不限于反射型 XSS（包括反射型 DOM~XSS）、轻微的信息泄露，包括但不限于路径泄露、无敏感信息的源代码泄露、PHPINFO、SVN等
URL跳转漏洞，客户端用户名密码明文存储，以及网络明文密码传输
本地拒绝服务漏洞。包括但不限于客户端本地拒绝服务（解析文件格式、网络协议产生的崩溃）
确定的安全隐患但是难以利用的漏洞

3.5 无影响漏洞（忽略）
无法影响其他用户的漏洞包括但不限于self~xss
无法利用的漏洞，包括但不限于版本过低
无关安全的BUG，包括但不限于功能无法使用等

四、完整性系数
对于漏洞完整性系数的评价将从以下几个方面综合考虑，给出0~10分的评定，如漏洞发现方式（在什么利用点利用何种方式或工具发现问题）、漏洞证明（相应的流程、关键截图、所涉及的危害等）以及修复方案等。

五、业务系数
ZSRC根据业务重要程度将业务系数划分为三个等级：核心业务、一般业务、边缘业务

1、核心业务系数为10：主站、天蓬网、政府采购、八戒知识产权、八戒财税、八戒金融、八戒软件
2、一般业务系数为4：天蓬国际、八戒科技服务、路标网、八戒工程、八戒家装、八戒国际、思博网等
3、边缘业务系数为1：以上未提及业务且位于阿里云或UCLOUD服务器

六、奖励规则
1、奖励只针对通过猪八戒网安全应急响应平台、安全应急中心邮箱sec@zbj.com提交漏洞的白帽子。
2、 奖励仅支持可威胁到猪八戒业务和业务相关的情报，与猪八戒无关的情报，将不给予奖励。
3、对于相同的漏洞报告，将给予首位提交者奖励，其余提交者不给予奖励。
4、网上已公开的漏洞不给予奖励。
5、在漏洞修复之前，被公开的漏洞不给予奖励。

七、其他
1、恶意提交者将作封号处理
2、漏洞等级会根据不同业务系统重要程度进行升级或者降级
3、漏洞奖励计划的解释权归猪八戒网安全应急响应中心所有

《中华人民共和国网络安全法》（简称 “网络安全法”）将于2017年6月1日正式实施。《中华人民共和国网络安全法》不仅对网络运营者提出了要求，也对网络安全从业者提出了要求。根据《中华人民共和国网络安全法》规定，现在普遍的白帽子安全测试行为存在着较大的操作过失风险。
为了帮助白帽子认识到网络安全法的重要性，更好地保障白帽子的权益以及保护白帽子，现由360安全应急响应中心、爱奇艺安全应急响应中心、滴滴出行安全应急响应中心、、饿了么安全应急响应中心、京东安全应急响应中心、竞技世界安全应急响应中心、联想安全应急响应中心、美丽联合集团安全应急响应中心、陌陌安全应急响应中心、同程安全应急响应中心、途牛安全应急响应中心、网易安全应急响应中心、小米安全中心，携程安全应急响应中心、微博安全应急响应中心、宜人贷安全应急响应中心、猪八戒网安全应急响应中心、补天漏洞响应平台等多家企业安全应急响应中心（排名不分先后，后简称为 “SRC联盟”）联合发起白帽子的网络安全法普法活动。
《中华人民共和国网络安全法》的地址是：http://www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.htm

其中，需要白帽子特别关注的法律条文如下：
第十二条 国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。
任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
第十八条 国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。
国家支持创新网络安全管理方式，运用网络新技术，提升网络安全保护水平。
第二十条 国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流。
第二十六条 开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。
第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。
第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。
第四十六条 任何个人和组织应当对其使用网络的行为负责，不得设立用于实施诈骗，传授犯罪方法，制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组，不得利用网络发布涉及实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。
第四十八条 任何个人和组织发送的电子信息、提供的应用软件，不得设置恶意程序，不得含有法律、行政法规禁止发布或者传输的信息。
电子信息发送服务提供者和应用软件下载服务提供者，应当履行安全管理义务，知道其用户有前款规定行为的，应当停止提供服务，采取消除等处置措施，保存有关记录，并向有关主管部门报告。
第六十二条 违反本法第二十六条规定，开展网络安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正，给予警告；拒不改正或者情节严重的，处一万元以上十万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。
第六十三条 违反本法第二十七条规定，从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。
单位有前款行为的，由公安机关没收违法所得，处十万元以上一百万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
违反本法第二十七条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。
第七十四条 违反本法规定，给他人造成损害的，依法承担民事责任。
违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。
第七十五条 境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任；国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。
除以上法律条文外，“SRC联盟”呼吁每一位白帽子仔细研读《中华人民共和国网络安全法》，避免在帮助企业进行网络安全检测时因为操作失误造不必要的风险，也尽量避免进行容易引起误会的操作。“SRC联盟”也会尽力维护白帽子的合法权益。
6月1日，“SRC联盟”各成员还将共同上线适用于各企业的用户提交漏洞协议，协议主要内容包括白帽子承诺在对企业进行网络安全检测时不能影响被检测的系统正常运行，不危害系统与平台的数据安全；告知白帽子不规范的行为可能存在的法律风险等。所有参与了漏洞提交的用户均需要同意协议方可继续进行漏洞提交。

《中华人民共和国网络安全法》是我国第一部网络安全的专门性综合性立法，将给网络安全行业带来新的机遇，希望广大白帽子支持网络安全法普法活动，与“SRC联盟”携手建设更安全的互联网。

亲爱的用户朋友们：
近期有用户访问网站的时候会被跳转到：https://verify.zbj.com/ 具体状况如下


长期以来不少恶意用户通过技术手段对网站的数据进行自动抓取，同时利用工具对网站进行恶意攻击。为了更好的保证大家的交易和资金安全、维护平台的有序发展，我们上线了“八戒云盾”。

什么情况会被“八戒云盾”拦截呢？
1、使用工具(外/挂)等非人工的方式访问猪八戒网
2、使用漏洞工具对网站进行扫描
3、请求的内容包含非法信息

QA
1、我没有干任何事情还是出现了这个问题
有可能你是使用的共享网络访问猪八戒网(比如：公司，很多用户都在使用猪八戒网)
2、遇到这个问题应该怎么办
如果你和你同IP的用户都没有恶意攻击，只需要输入一次验证码，就可以正常的访问猪八戒网
3、我没有攻击也输入了验证码还是要跳转到风险提示页面
请把你的IP邮件发送到sec@zbj.com。我们进行人工处理。


猪八戒网-安全部
2017-05-31

第一章 特别提示
第一条 本用户协议（以下称为“本协议”）约定重庆猪八戒网络有限公司及其关联企业（以下简称“猪八戒网”）与登陆、使用猪八戒网安全应急响应中心（ZBJ Security Response Center，ZSRC)的用户（以下称为“您”）之间关于在ZSRC网站上收集、提交漏洞的权利义务。
第二条猪八戒网在此特别提醒您在成为ZSRC用户前之前，请认真阅读本协议，确保您充分理解本协议中各条款。请您审慎阅读并选择接受或不接受本协议。除非您接受本协议所有条款，否则您无权注册、登录或使用本协议所涉服务。您注册、登录、使用、浏览ZSRC网站（网址https://sec.zbj.com，以下简称“本网站”）等行为将视为对本协议的接受，并同意接受本协议各项条款的约束。
第三条本协议可由猪八戒网随时更新，更新后的协议条款一旦公布即代替原来的协议条款，恕不再另行通知，您可在本网站查阅最新版协议条款。在猪八戒网修改协议条款后，如果您不接受修改后的条款，请立即停止使用猪八戒网提供的服务，您继续使用猪八戒网提供的服务将被视为接受修改后的协议。
第四条您承诺遵守中国法律、法规、规章及其他政府规范性文件的规定，如有违反而造成任何法律后果，您将独立承担所有相应的法律责任。

第二章 定义
第五条本协议所涉及的漏洞是指您以研究为目的，在测试猪八戒网漏洞过程中发现的猪八戒网的漏洞，或者猪八戒网以及第三方以测试和评估系统安全性为目的，向您发出测试通知，您在参加测试过程发现的第三方的漏洞。
第六条猪八戒网授权您或通过通知方式代理第三方授权您，以测试和评估系统安全性为目的收集与提交漏洞。

第三章 双方的权利义务
第七条您保证是具备完全民事权利能力和完全民事行为能力的自然人、法人或其他组织（以下统称为“法律主体”），您应遵守猪八戒网在ZSRC平台上公告的漏洞处理流程以及国家的相关规定，并保证在测试过程中不影响被测试、评估系统的正常运行，不危害系统、平台用户隐私以及数据安全。
第八条您需要保证研究漏洞的方法、方式、工具及手段的合法性，猪八戒网对此不承担任何法律责任。
第九条您应基于诚信原则提交漏洞信息，并确保您是依据您自身所拥有的知识和技能，通过合法正当的方式和途径发现该漏洞信息的存在，您保证您所提交的漏洞信息所包含的全部权利都合法。
第十条您保证不会利用技术或其他手段破坏、扰乱ZSCR网站及影响其他用户使用ZSRC网站。
第十一条您应尊重ZSRC网站相关知识产权和其他合法权利，并保证在发生侵犯上述权益的违法事件时尽力保护权利所有人免于因该等事件受到影响或损失。
第十二条未经猪八戒网允许，您不得为任何非法目的而使用漏洞及漏洞提供的相关信息和ZSRC网站的信息，具体地，您不得从事以下活动：
1、进入计算机信息网络或者使用计算机信息网络资源；
2、对计算机信息网络功能进行删除、修改或者增加；
3、对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加；
4、故意制作、传播计算机病毒等破坏性程序；
5、删除软件及其副本上关于著作权的信息；
6、对软件进行反向工程、反向汇编、反向编译，或者以其他方式尝试发现软件的源代码；
7、对猪八戒网拥有知识产权的内容进行使用、出租、出借、复制、修改、链接、转载、汇编、发表、出版、建立镜像站点等。
8、对软件或者软件运行过程中释放到任何终端内存中的数据、软件运行过程中客户端与服务器端的交互数据，以及软件运行所必需的系统数据，进行复制、修改、增加、删除、挂接运行或创作任何衍生作品，形式包括但不限于使用插件、外挂或非经猪八戒网授权的第三方工具/服务接入软件和相关系统；。
9、通过修改或伪造软件运行中的指令、数据，增加、删减、变动软件的功能或运行效果，或者将用于上述用途的软件、方法进行运营或向公众传播，无论这些行为是否为商业目的。
10、通过非猪八戒网开发、授权的第三方软件、插件、外挂、系统，登录或使用猪八戒网软件及服务，或制作、发布、传播非猪八戒网开发、授权的第三方软件、插件、外挂、系统。
11、其他危害计算机信息网络安全的行为。
如您违反上述保证，猪八戒网有权采取注销您的账户、收回给您的奖励等措施，如因您上述行为给猪八戒网造成损失的，您应予赔偿。
第十三条 您使用ZSRC网站时将遵从国家、地方法律法规、行业惯例和社会公共道德，不会利用ZSRC网站及相关服务进行存储、发布、传播如下：
1、法律、法规和政策禁止的内容；
2、反对宪法所确定的基本原则的；
3、危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；
4、损害国家荣誉和利益的；
5、煽动民族仇恨、民族歧视，破坏民族团结的；
6、破坏国家宗教政策，宣扬邪教和封建迷信的；
7、散布谣言，扰乱社会秩序，破坏社会稳定的；
8、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；
9、侮辱或者诽谤他人，侵害他人合法权益的；
10、不遵守法律法规底线、社会主义制度底线、国家利益底线、公民合法权益底线、社会公共秩序底线、道德风尚底线和信息真实性底线的“七条底线”要求的；
11、涉及他人隐私、个人信息或资料的；
12、含有法律、行政法规禁止的其他内容的信息。
第十四条 您不得为他人发布上述不符合国家规定或本协议条款约定的信息内容提供任何便利，包括但不限于设置URL链接等。
第十五条 您应妥善保管用于登陆本网站服务的用户名、登录密码或验证码等信息保密。您确认，登录后的一切行为均代表您本人意志，并由您本人承担相应的法律后果。
第十六条 您了解并同意，必要时猪八戒网可能要求您完成账户的实名认证；同时，可能要求您提供更多的身份资料和信息，做进一步的身份认证或资格验证。
第十七条 您应当准确填写并及时更新您的联系信息（例如，电子邮件地址、联系电话、联系地址等联系信息），以便猪八戒网与您进行有效联系，因通过这些联系方式无法与您取得联系，导致您所产生任何损失或后果的，由您全部承担。 
第十八条 猪八戒网有权按照国家司法、行政、安全等机关的要求对个人信息等进行查询、披露。
第十九条 猪八戒网保留在您违反国家、地方法律法规规定或违反本协议条款的情况下，中止、终止、注销您在ZSRC登陆的权利。您同意并授权猪八戒网，如您在ZSRC网站有欺诈、侵犯他人合法权益或其他严重违法行为，您的账户信息可能被注销。

第四章 法律责任
第二十条 您理解并同意，猪八戒网有权依合理判断对违反有关法律法规或本协议规定的行为进行处罚，对违法违规的任何用户采取适当的法律行动，并依据法律法规保存有关信息向有关部门报告等，您应承担由此而产生的一切法律责任。
第二十一条您理解并同意，因您违反本协议约定，导致或产生的任何第三方主张的任何索赔、要求或损失，包括合理的律师费，用户应当赔偿猪八戒网与合作公司、关联公司的损失，并使之免受损害。
第二十二条 在法律允许的情况下，猪八戒网对于与本协议条款有关或由本协议条款引起的任何间接的、惩罚性的损失，不论是如何产生的，也不论是由对本协议条款的违约、还是由侵权造成的，均不负有任何责任，即使事先已被告知此等损失的可能性。

第五章 知识产权
第二十三条 除第三方产品或服务外，ZSRC网站上所有内容，包括但不限于著作、图片、资讯、架构、页面设计等相关知识产权（包括但不限于商标权、专利权、著作权、商业秘密等），均为猪八戒网或猪八戒网的关联公司所有。
第二十四条 非经猪八戒网或猪八戒网的关联公司事先书面同意，您不得擅自使用、修改、复制、公开传播、改变、散布、发行或公开发表对应的知识产权。如侵犯知识产权，您应承担损害赔偿责任。
 
第六章其他
第二十五条 猪八戒网郑重提醒您注意本协议中免除猪八戒网责任和限制您权利的条款，请您仔细阅读，自主考虑风险。未成年人应在法定监护人的陪同下阅读本协议。
第二十六条本协议的效力、解释及纠纷的解决，适用于中华人民共和国法律。若用户和猪八戒网之间发生任何纠纷或争议，首先应友好协商解决，协商不成的，用户同意将纠纷或争议提交猪八戒网住所地有管辖权的人民法院管辖。
第二十七条本协议的任何条款无论因何种原因无效或不具可执行性，其余条款仍有效，对双方具有约束力。
第二十八条本协议自发布之日起执行
第二十九条本协议修订全及最终解释权归猪八戒网所有

重庆猪八戒网络有限公司（简称“猪八戒网”）是全国最大的在线服务交易平台，猪八戒网一直对自身产品和业务的安全问题非常重视，也一直致力于保障用户安全，非常欢迎广大白帽子向我们反馈猪八戒网相关产品和业务的安全漏洞，以帮助我们提升产品和业务的安全性。

漏洞反馈流程：
1、注册。白帽子注册猪八戒网账号
2、报告。白帽子报告漏洞信息（请务必详尽，并在漏洞修复之前不要对外传播）
3、处理。猪八戒网安全应急响应中心工作人员审核漏洞，必要时会联系用户了解情况
4、致谢。猪八戒网安全应急响应中心将根据贡献值给予漏洞报告者以奖励

评分规则：
1、严重漏洞（30-40猪币）
严重的敏感信息泄露，包括但不限于可以获取重要数据的 SQL 注入漏洞（如用户帐号密码）、以及任意文件读取和下载漏洞（如包含重要服务口令）等
严重的逻辑漏洞，包括但不限于任意账号登陆、任意账号密码修改、支付绕过漏洞、以任意人身份敏感操作等
远程直接获取系统权限的漏洞（服务端和客户端），包括但不限于远程任意命令执行、代码执行、任意文件上传获取 webshell、缓冲区溢出、SQL注入获取系统权限等
2、高危漏洞（10-20猪币）
大范围影响用户的漏洞，包含但不限于容易利用的存储型 XSS、CSRF 等
高风险的信息泄露，包括但不限于可以利用的源代码泄露、可以获取一般数据的 SQL 注入漏洞、以及任意文件读取和下载漏洞等
越权访问，包括但不限于绕过验证直接访问后台、后台登录弱口令、以及其他服务的弱口令等
3、中危漏洞（5-10猪币）
需要条件才能获取用户身份信息的漏洞（如交互）。包括但不限于JSON Hijacking、CSRF、普通业务的存储型 XSS
本地拒绝服务漏洞。包括但不限于客户端本地拒绝服务（解析文件格式、网络协议产生的崩溃）
普通的信息泄露，包括但不限于包括可以轻微数据的SQL注入和难以利用的SQL注入，普通的越权操作以及设计缺陷和流程缺陷
4、低危漏洞（1-5猪币）
包括但不限于反射型 XSS（包括反射型 DOM-XSS）、轻微的信息泄露，包括但不限于路径泄露、无敏感信息的源代码泄露、PHPINFO、SVN等
URL跳转漏洞，客户端用户名密码明文存储，以及网络明文密码传输
确定的安全隐患但是难以利用的漏洞
5、无影响漏洞（无）
无法影响其他用户的漏洞包括但不限于self-xss
无法利用的漏洞，包括但不限于版本过低
无关安全的BUG，包括但不限于功能无法使用等

PS:对于双倍积分域名的严重和高危漏洞，会按照业务重要性给予2-5倍的猪币加成

奖励规则：
1、奖励只针对通过猪八戒网安全应急响应平台、安全应急中心邮箱sec@zbj.com反馈的用户
2、猪币可以兑换等额礼物，猪币商城礼物上新中……敬请期待
其他：
1、恶意提交者将作封号处理
2、漏洞等级会根据不同业务系统重要程度进行升级或者降级
3、漏洞奖励计划的解释权归猪八戒网安全应急响应中心所有

公告编号：ZSRC-2016-004
公告来源：猪八戒网安全应急响应中心
公告时间：2016-10-10
猪八戒网安全应急响应中心在2016年第三季度，累计收到白帽子提交漏洞88个，其中有效漏洞62个。其中11个高危漏洞，5个中危漏洞，45个低危漏洞。
为感谢各位白帽子对猪八戒安全的贡献。特此对做出突出贡献的白帽子给予以下奖励：

一、最佳贡献奖：tyomcat@ChaMd5安全团队 奖品：猪猪大礼包
二、最佳贡献奖：cnsolu@四叶草安全 奖品：猪猪大礼包
三、最佳贡献奖：骑虎打狗 奖品：猪猪大礼包

也感谢以下白帽子对猪八戒安全的关注：

ZSRC正在一步步优化中，欢迎更多的白帽子向我们提交漏洞，或给出安全建议，ZSRC与您携手一起为猪八戒网安全保驾护航！

漏洞反馈方式：
1、登陆sec.zbj.com,选择【反馈漏洞】
2、邮件反馈至sec@zbj.com

扫描维码关注微信公众号：

中秋来临，猪八戒安全响应中心首先，跟各位在猪八戒网安全响应中心提交过漏洞的白帽子们提前说声中秋快乐！！，作为运营妹子，在这个中秋佳节来临之际当然要给白帽子大大们发福利咯~


福利一：
凡是此前在猪八戒网安全响应中心提交过漏洞的白帽子，可获得月饼一盒。没有留下联系方式的白帽子请完善个人信息，留下您的联系方式。完善后运营妹子会主动联系到你~

福利二：
即日起至2016年9月4日，凡在猪八戒网安全响应中心提交中危及以上漏洞的白帽子可获得月饼一盒。欢迎各位白帽子踊跃提交哦~

为保证所有礼品在中秋节送达各位白帽子手上，活动截止时间为9月4日哦~

猪八戒网安全应急响应中心于2016年1月上线以来，累计接收到白帽子报告的有效漏洞23个。
感谢以下白帽子为猪八戒网安全做出的贡献。

接下来我们会更加重视ZSRC的运营工作，希望各位白帽子持续的关注猪八戒网的安全！


猪八戒网安全应急响应中心
2016-07-11

公司简介：
重庆猪八戒网络有限公司，作为中国领先的服务众包平台，自2006年成立以来，始终立足服务交易，致力让天下人享受诚信服务，助力中小微企业的成长与发展。

招聘岗位如下：

安全工程师（金融方向）
薪酬：10-20K
工作职责
1、具有专业的安全知识，能独立完成网络安全设计方案，具有团队合作精神
2、负责信息系统的风险评估、安全加固、安全巡检等
3、负责需求分析和系统设计工作，完成项目方案建议书编写
4、指导项目组人员按照要求完成各类设计文档，指导软件开发及测试、实施
5、负责与需求方沟通交流，向需求方汇报需求或设计

岗位要求
1、精通主流安全攻防技术、熟练操作MySQL等主流数据库，并能根据需要定制查询语句
2、熟练掌握防火墙、WAF、IDS/IPS、防病毒、漏洞扫描、身份认证、Linux/Unix、windows等操作系统等安全产品软硬件知识，配置和分析
3、具备独立开展漏洞扫描、基线检查、安全审计等工作的能力
4、具备网络安全基础，能够分析各种网络攻击行为以及危害网络的相关安全脆弱点
5、具有技术相关证书（CISSP，CISP，BS7799 LA，CCNP/CCIE证书者优先）
6、有互联网金融或支付行业工作经验优先

渗透测试工程师
薪酬：6-15K
工作职责：
1、负责猪八戒网业务系统的安全评审
2、负责猪八戒网业务系统的渗透测试工作
3、负责漏洞跟踪处理、解决方案制定
4、负责提升安全扫描工具的覆盖率

岗位要求：
1、能够挖掘各种安全漏洞，有丰富的实战经验（有独立渗透测试经验或在各漏洞平台上报过漏洞者优先）
2、熟悉OWASP TOP10 的漏洞，能理解和挖掘这些漏洞
3、能够自行跟踪新出的WEB攻击方式及原理分析
4、熟悉常见脚本语言(php、java优先)，能够进行代码审计优先
5、对移动安全有所了解，熟悉加固、反编译等
6、能够快速理解需求，给业务提出安全建议
7、具有踏实的工作心态、良好的沟通能力和团队协作能力

安全开发工程师
薪酬：6-15K
工作职责：
1、负责猪八戒网安全产品后台研发
2、负责扫描器、数据分析系统的开发
3、负责对公司的安全产品优化和改进

岗位要求：
1、熟悉python、php、java(任意一种)编程语言，熟悉安全攻防技术
2、研究或使用过Hadoop、Storm等大数据分析技术
3、对数据挖掘以及大数据分析有一定的概念及实践
4、有扫描器、waf等安全系统开发经验者优先
5、具有踏实的工作心态、良好的沟通能力和团队协作能力

安全分析工程师
薪酬：10-20K
工作职责：
1、负责跟踪最新漏洞信息和业界安全动态，并结合公司现状给出相关安全改进建议
2、负责waf规则持续优化
3、负责扫描器规则持续优化
4、负责建立安全数据模型提升漏洞发现能力

岗位要求：
1、熟悉网络安全攻防技术，有丰富的安全实战经验
2、有安全研究经验，有自己的安全哲学和思维体系, 能独立完成常见的安全研究工作：WEB漏洞分析及规则提取、并能针对性漏洞提出行之有效的安全解决方案
3、有安全产品开发经验，有自动化渗透测试系统开发经历。熟悉各类安全框架、经常参与开源社区
4、有大数据分析经验、对安全信息收集和整理分析有敏锐的直觉、自己探究或实现过分析引擎和架构
5、熟悉一种或多种脚本语言，精通正则表达式
6、具有踏实的工作心态、良好的沟通能力和团队协作能力


工作地点：重庆、北京
联系邮箱：sec@zbj.com

重庆猪八戒网络有限公司（简称“猪八戒网”）是全国最大的在线服务交易平台，猪八戒网一直对自身产品和业务的安全问题非常重视，也一直致力于保障用户安全，非常欢迎广大白帽子向我们反馈猪八戒网相关产品和业务的安全漏洞，以帮助我们提升产品和业务的安全性。
漏洞反馈流程：
1、注册。白帽子注册猪八戒网账号
2、报告。白帽子报告漏洞信息（请务必详尽，并在漏洞修复之前不要对外传播）
3、处理。猪八戒网安全应急响应中心工作人员审核漏洞，必要时会联系用户了解情况
4、致谢。猪八戒网安全应急响应中心将根据贡献值给予漏洞报告者以奖励
评分规则：
1、严重漏洞（40猪币）
严重的敏感信息泄露，包括但不限于可以获取重要数据的 SQL 注入漏洞（如用户帐号密码）、源代码泄露以及任意文件读取和下载漏洞（如包含重要服务口令）等
严重的逻辑漏洞，包括但不限于任意账号登陆、任意账号密码修改、支付绕过漏洞、以任意人身份敏感操作等
远程直接获取系统权限的漏洞（服务端和客户端），包括但不限于远程任意命令执行、代码执行、任意文件上传获取 webshell、缓冲区溢出、SQL注入获取系统权限等
2、高危漏洞（10-20猪币）
大范围影响用户的漏洞，包含但不限于容易利用的存储型 XSS、CSRF 等
高风险的信息泄露，包括但不限于可以获取一般数据的 SQL 注入漏洞、源代码泄露以及任意文件读取和下载漏洞等
越权访问，包括但不限于绕过验证直接访问后台、后台登录弱口令、以及其他服务的弱口令等
3、中危漏洞（5-10猪币）
需要条件才能获取用户身份信息的漏洞（如交互）。包括但不限于反射型 XSS（包括反射型 DOM-XSS）、JSON Hijacking、CSRF、普通业务的存储型 XSS
本地拒绝服务漏洞。包括但不限于客户端本地拒绝服务（解析文件格式、网络协议产生的崩溃）
普通的信息泄露，包括但不限于包括可以轻微数据的SQL注入和难以利用的SQL注入，客户端用户名密码明文存储，以及网络明文密码传输
普通的越权操作以及设计缺陷和流程缺陷
4、低危漏洞（1-5猪币）
轻微的信息泄露，包括但不限于路径泄露、PHPINFO、SVN等
URL跳转漏洞
确定的安全隐患但是难以利用的漏洞
5、无影响漏洞（无）
无法影响其他用户的漏洞包括但不限于self-xss
无法利用的漏洞，包括但不限于版本过低
无关安全的BUG，包括但不限于功能无法使用等
PS:对于严重和高危漏洞，会按照业务重要性给予2-5倍的猪币加成
奖励规则：
1、奖励只针对通过猪八戒网安全应急响应平台、安全应急中心邮箱sec@zhubajie.com反馈的用户
2、猪币可以兑换等额礼物，兑换比列敬请期待.....
其他：
1、恶意提交者将作封号处理
2、漏洞奖励计划的解释权归猪八戒网安全应急响应中心所有

猪八戒网安全应急响应中心
2015-09-17