补天漏洞响应平台

来自《2013年中国网站安全报告》的数据显示，国内超过95%的网站存在漏洞，超过40%的网站存在后门。2014年有多家快递网站泄露了超过1400万用户信息，2013年某酒店系统泄漏2000万条客户开房记录等等，都是因为相关网站存在漏洞导致。由漏洞而引发的安全事件不仅给用户造成了重大损失，也给相关企业造成了直接或者间接的经济损失，严重影响了企业和行业形象。

面对企业的漏洞风险，包括微软、

“补天”漏洞响应平台是360推出的专门征集开源建站程序漏洞，用以帮助软件公司和开发者及时推出补丁，加强网站对黑客攻击“拖库”的防范能力的漏洞响应平台。通过补天平台，大多数建站程序都能快速修复漏洞，并及时推出补丁保护网站用户的数据安全。

“补天”漏洞响应平台负责人赵武表示，发现漏洞是网络安全专家的劳动成果，类似于

“补天”在国内率先采用“奖励机制”、“保密机制”、“合作机制”三大机制：“奖励机制”将首次通过付费收集漏洞的方式，让白帽子获得与辛劳相匹配的物质奖励，以激发白帽子帮助企业发现并修复漏洞的积极性；“保密机制”将保护企业漏洞细节不外泄，为企业集中精力来修复漏洞争取时间；“合作机制”将推动补天成为职业化漏洞发掘平台，兼顾企业、

企业首先会发布一系列的漏洞响应规则，包括接收的漏洞影响范围，以及漏洞定级和不同等级的奖金范围。请务必在此之前仔细阅读并确认提交的漏洞满足企业的规则。

在发现了漏洞后，请在补天平台将漏洞细节进行完整的描述并进行提交。请确保漏洞描述清晰，有利于审核人员进行漏洞重现和确认。并且尽量提供修复建议，这样有利于企业确认并修复漏洞。在漏洞确认后将会进行奖金的发放。

在收到漏洞提交的第一时间，补天平台会进行漏洞真实性、有效性、独家性确认。请确保漏洞之前不在互联网上以任何形式的公开，并且在确认期间保证不会以任何其他形式对外公开。

漏洞最后是否公开由安全专家和企业进行协商沟通，最终的决定权在企业。

一旦厂商确认了漏洞存在，并且是第一个通报漏洞的作者，平台就会跟企业确定奖金额度，确认后就会由平台的工作人员进行打款（可以周期性打款也可以累积金额打款）。

通用漏洞：第三方软件，应用，系统对应的漏洞。如ECShop、Discuz、PHPCMS的SQL注入，XSS漏洞。开软软件，安全浏览器，手机应用，路由器，开发框架，甚至是某VPN系统某防火墙系统的漏洞。

事件漏洞：即非通用型漏洞，主要是指互联网上应用的一个具体漏洞，某网站命令执行可被渗透，某电商订单泄漏任意充值，某网站应用SQL注入可导致信息泄露等等

1）提交漏洞，安全专家看到漏洞详情后给出合理估价

2）对白帽子提交的漏洞详细进行验证，如果没有通过则5）

3）通知厂商并定价：补天官方第一时间通知第三方厂商和国家漏洞库，协助厂商尽快发布漏洞补丁并定价（如果厂商确认或者无法联系厂商但危害大的漏洞我们会坚持给出定价，但如果厂商表示已通报过或者积极拒绝修复，我们可能不会定价）；

4）打款：补天官方向安全专家支付奖金（一般1-3周）；

5）结束：本次漏洞提交过程结束。

漏洞奖励主要分为现金奖励和精神奖励。

1）现金奖励，主要是前面几轮评估的结果，体现的是直接的给予现金；具体参考漏洞验收标准里的奖金标准。

2）精神奖励，我们给予榜单公示、积分排行。

榜单公示，我们本着自愿原则，会严格遵从安全专家的个人意愿，是否公开自己的ID信息。

补天平台实行白帽子信誉度机制，每位白帽子的信誉度总计为50，对于不加思索提交，一洞多投，抄袭或转载的，一个漏洞，我们会将其信誉扣除一积分，多次累积扣除，当信誉度低于30时，平台会对该为白帽子进行封号处理。

1）第三方应用程序之外的如服务器配置问题，不会获得本规则所述漏洞奖励；

2）恶意提交漏洞者将不予回复，提交无关问题的将不会答复。

漏洞名称安全专家自定义漏洞名称，尽量包含漏洞关键字等信息。

比如：ECShop GBK版本宽字符SQL注入漏洞，PHPCMS2008任意代码执行漏洞

我们关注的漏洞类型，包括（如有未涉及到的，且确实危害严重的漏洞类型，我们也非常欢迎）：

1．XSS； 2．SQL注入漏洞； 3．命令执行； 4．代码执行； 5．文件包含； 6．任意文件操作； 7．权限绕过； 8．逻辑漏洞； 9．信息泄露； 10．存在后门。

分为三个等级：高危、中危、低危。

高危：

1）直接获取服务器权限的漏洞。包括但不限于任意命令执行、上传webshell、任意代码执行；

2）直接导致严重的信息泄漏漏洞。包括但不限于重要DB的SQL注入漏洞；

3）直接导致严重影响的逻辑漏洞。包括但不限于任意帐号密码更改漏洞。

4）能直接盗取用户身份信息的漏洞。包括但不限于SQL注入；

5）越权访问。包括但不限于绕过认证访问后台。

中危：

1）需交互才能获取用户身份信息的漏洞。包括但不限于存储型XSS漏洞；

2）任意文件操作漏洞。包括但不限于任意文件读、写、删除、下载等操作；

3）越权访问。包括但不限于绕过限制修改用户资料、执行用户操作；

4）比较严重的信息泄漏漏洞。包含敏感信息文件泄露（如DB连接密码）；

低危：

1） 普通逻辑漏洞。包括但不限于提交操作无限制导致数据库被爆漏洞；

2） 需交互才能获取用户身份信息并且有一定利用难度的漏洞。包括但不限于反射型XSS。

1.厂商相对较小及政府学校站

低危：1-2分 （后台弱口令，存储XSS，跳转，sql注入无重要敏感数据，存在后门，通用性漏洞如stru2等，其他平台公开未修复的高危漏洞）

中危：2-3分 （敏感信息泄露，越权，sql注入能获取重要数据）

高危：3-10分 （getshell，提权服务器，内网渗透$，同一厂商不同站点或者同一站点不同类型漏洞打包$，百万及千万用户信息泄露$$）

思路比较新颖，内网漫游或者漏洞数量比较多打包的现金范围￥50-￥200

2.中大型厂商（电信、移动、联通三大运营商、高权重站点）

低危：2-3分 （后台弱口令，XSS，跳转，sql注入无数据，存在后门）

中危：3-6分 （敏感信息泄露，越权，sql注入能获取有效数据，通用性漏洞如stru2等）

高危: 6-10分（getshell$，提权服务器$，多个漏洞打包提交$，内网渗透$$，大数据信息泄露$$）

思路比较新颖，高危漏洞现金奖励范围￥50-￥300

3.大厂商（bat3、新浪、网易、搜狐、迅雷、金山、盛大、人人网、携程等互联网巨头）

低危：2-4分 （后台弱口令，XSS，跳转，sql注入无数据，存在后门）

中危：4-7分 （敏感信息泄露$，越权$，sql注入能获取有效数据$，通用性漏洞如stru2$等）

高危: 7-10分（getshell$$，提权服务器$$，多个漏洞打包提交$$，内网渗透$$，大数据信息泄露$$$）

思路比较新颖，中危高危给现金，中危￥50-￥100，高危￥100-￥1000元不等。

4.我们忽略的：

pr0 权重0的个人站点或者实在没人维护的小企业站

小企业或者学校政府站点的反射型xss

多次提交与其他漏洞平台的重复或者网上已流传公开

存在注入但是不能获取任何数据的学校站及政府站

小众厂商定义：

1.建站公司网站，没有相关产品或者应用系统。

2.通过"技术支持"，"inurl:"之类关键词搜索得的案例

3.不明确厂商和用户量的系统漏洞

4.某个web建站系统，但是用户量很小（用户量500以下）

注：对于1，2，3需至少提供20个以上漏洞的网站案例，对于4用户量不能低于200。 

小众厂商奖励：

1.漏洞合集或者漏洞打包提交(中高危漏洞不少于3个) ￥300 - ￥500；

2.高危漏洞 ￥100-￥300；中危漏洞 ￥100 -￥200；

3.一般库币奖励范围（1-3）

4.小众厂商我们关注 学校，政府，教育等网站漏洞

5.考虑到有些企业建站公司漏洞确实影响太小，且通知厂商很难得到修复，我们会选择性收集。

厂商悬赏奖励是由厂商入驻平台自定义漏洞级别以及悬赏区间，具体可见厂商的展示页面中点击 查看漏洞定义

不关注的系统和漏洞：

有些系统漏洞过多，我们积极通知厂商但是一直没有回应和修复，我们后续会忽略该系统漏洞。

目前不关注的系统或厂商有： PHPB2B、LebiShop、IWebSNS、灾害监测预警系统(福建四创软件)、启明星工作室 南京苏亚星 shlcms 广东东方思维（高速交通系统） 南京南软科技