重庆猪八戒网络有限公司(简称“猪八戒网”)是全国最大的在线服务交易平台,猪八戒网一直对自身产品和业务的安全问题非常重视,也一直致力于保障用户安全,非常欢迎广大白帽子向我们反馈猪八戒网相关产品和业务的安全漏洞,以帮助我们提升产品和业务的安全性。
漏洞反馈流程:
1、注册。白帽子注册猪八戒网账号
2、报告。白帽子报告漏洞信息(请务必详尽,并在漏洞修复之前不要对外传播)
3、处理。猪八戒网安全应急响应中心工作人员审核漏洞,必要时会联系用户了解情况
4、致谢。猪八戒网安全应急响应中心将根据贡献值给予漏洞报告者以奖励
评分规则:
1、严重漏洞(40猪币)
严重的敏感信息泄露,包括但不限于可以获取重要数据的 SQL 注入漏洞(如用户帐号密码)、源代码泄露以及任意文件读取和下载漏洞(如包含重要服务口令)等
严重的逻辑漏洞,包括但不限于任意账号登陆、任意账号密码修改、支付绕过漏洞、以任意人身份敏感操作等
远程直接获取系统权限的漏洞(服务端和客户端),包括但不限于远程任意命令执行、代码执行、任意文件上传获取 webshell、缓冲区溢出、SQL注入获取系统权限等
2、高危漏洞(10-20猪币)
大范围影响用户的漏洞,包含但不限于容易利用的存储型 XSS、CSRF 等
高风险的信息泄露,包括但不限于可以获取一般数据的 SQL 注入漏洞、源代码泄露以及任意文件读取和下载漏洞等
越权访问,包括但不限于绕过验证直接访问后台、后台登录弱口令、以及其他服务的弱口令等
3、中危漏洞(5-10猪币)
需要条件才能获取用户身份信息的漏洞(如交互)。包括但不限于反射型 XSS(包括反射型 DOM-XSS)、JSON Hijacking、CSRF、普通业务的存储型 XSS
本地拒绝服务漏洞。包括但不限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃)
普通的信息泄露,包括但不限于包括可以轻微数据的SQL注入和难以利用的SQL注入,客户端用户名密码明文存储,以及网络明文密码传输
普通的越权操作以及设计缺陷和流程缺陷
4、低危漏洞(1-5猪币)
轻微的信息泄露,包括但不限于路径泄露、PHPINFO、SVN等
URL跳转漏洞
确定的安全隐患但是难以利用的漏洞
5、无影响漏洞(无)
无法影响其他用户的漏洞包括但不限于self-xss
无法利用的漏洞,包括但不限于版本过低
无关安全的BUG,包括但不限于功能无法使用等
PS:对于严重和高危漏洞,会按照业务重要性给予2-5倍的猪币加成
奖励规则:
1、奖励只针对通过猪八戒网安全应急响应平台、安全应急中心邮箱sec@zhubajie.com反馈的用户
2、猪币可以兑换等额礼物,兑换比列敬请期待.....
其他:
1、恶意提交者将作封号处理
2、漏洞奖励计划的解释权归猪八戒网安全应急响应中心所有
猪八戒网安全应急响应中心
2015-09-17