AdsPower
AdsPower

Bug Bounty

AdsPower瀏覽器一直緻力於保護廣大用戶的信息安全,非常歡迎白帽子們向我們反饋AdsPower瀏覽器和業務的安全漏洞,幫助我們提昇繫統和業務的安全性。反饋漏洞郵箱:security@adspower.net 。

AdsPower漏洞危害評定規則

嚴重
  1. 直接獲取繫統權限的漏洞。包括但不限於命令注入、遠程命令執行、上傳獲取WebShell。
  2. 嚴重級別的敏感信息洩露。包括但不限於對公司或者用戶造成巨大影響的信息洩露,多維度且數據量巨大的敏感數據,以及通過接口引髮的敏感信息洩露。
  3. 洩露大量核心敏感數據的漏洞,包括但不限於:核心DB的SQL注入漏洞、用戶敏感信息接口越權導緻的大範圍洩露。
  4. 無需用戶交互或簡單用戶交互的遠程代碼任意執行、遠程任意文件讀冩。
  5. 可直接獲取集群或堡壘機等關鍵基礎繫統管理員權限等漏洞。
高危
  1. 可利用的 SQL注入漏洞(獲取 user)。
  2. 直接導緻嚴重影響的邏輯漏洞。包括但不限於任意賬號密碼更改漏洞、任意用戶登錄漏洞。
  3. 客戶端自身功能的漏洞。包括但不僅限於以遠程方式獲取客戶端權限執行任意命令和代碼。
  4. 越權訪問。包括但不限於繞過認証訪問管理後颱,多維度敏感信息的越權訪問。
  5. 本地任意代碼執行。包括但不限於本地可利用的代碼執行以及其它邏輯問題導緻的本地代碼執行漏洞。(因繫統缺陷導緻的DLL劫持導緻的産品本地任意代碼執行不在收錄範圍)
中危
  1. 普通的信息洩露。包括但不限於影響數據量有限或者敏感程度有限的越權、源代碼或繫統日誌或無信息回顯的SSRF漏洞等信息洩露。
  2. 需受害者交互或其他前置條件才能獲取用戶身份信息的漏洞。包括但不限於包含用戶、網站敏感數據的 JSONHijacking、操作(如支付類操作、髮佈信息或修改個人賬號敏感信息類操作)的 CSRF、存儲型 XSS。
  3. 普通的邏輯缺陷和越權。包括但不限於一般的越權行爲和設計缺陷。
  4. 普通設計缺陷,包括但不限於登錄窗口可爆破(需提供成功案例)、弱口令等問題。
低危
  1. 輕微信息洩露,包括但不限於可登錄後颱但無權限或無數據操作的漏洞、PHPinfo、本地 SQL注入、近期日誌打印及配置等洩露情況。
  2. 隻在特定情況下才能獲取用戶信息的漏洞,包括但不限於反射 XSS(包括 DOM型)。
  3. 利用場景有限的漏洞,包括但不限於短信轟炸、URL跳轉、繫統的可撞庫接口等。

漏洞評定通用原則

  1. 弱口令問題:同一套繫統多個用戶弱口令問題隻確認第一個,後續提交算重複漏洞;同一個用戶弱口令可登陸不同繫統,算同一漏洞,合並處理。
  2. 對於SQL注入漏洞,須注出其中一條數據証明危害。嚴禁拖庫表。單純報錯無危害証明將會被忽略。
  3. 無特別聲明情況下,前後關聯漏洞合並處理,按級別最高的漏洞進行獎勵,如先提交弱口令進入後颱/內網漏洞,後提交進入後颱/內網的SQL注入、越權漏洞。後提交的SQL、越權漏洞均合並處理,審核員會與安全對接人員溝通是否允許繼續深入測試該繫統。如許可,可正常測試,髮現問題可單獨提交。
  4. 同一個漏洞源産生的多個漏洞計漏洞數量爲一,web層麵上同一域名或IP下均屬同一漏洞源,漏洞獎勵按級別最高的漏洞進行獎勵。
  5. 對於邊緣/廢棄業務繫統,根據實際情況降級處理。
  6. 對於利用條件苛刻的漏洞,根據實際情況降級處理。
  7. 嚴重敏感身份信息定義:
    至少包含3個敏感字段:姓名/身份証、銀行卡信息、手機號/郵箱、密碼、地址;
    對於不滿足上述條件的信息,將視信息的敏感程度降級處理。
  8. 對於已獲取繫統權限(如webshell),禁止下載源代碼審計。請事先聯繫審核員,審核員將會與安全對接人員溝通相關事宜,如果安全對接人員同意審計,再進行後續操作,髮現漏洞可單獨提交。否則,其行爲將視爲違規操作,一經髮現凍結賬戶。安全對接人員情況嚴重程度,保留追究法律責任的權利。

測試紅線

第一類事件:
  1. 漏洞洩密,漏洞內容主動洩漏給第三方。
  2. 數據留存,測試敏感信息洩漏(賬密、敏感key、訂單、人員身份信息等)問題,在漏洞確認後1個月未對測試過程中獲取到的相關信息進行完全刪除。
  3. 存儲不當,使用雲上網盤提供的在線存儲服務或包含網絡同步功能的本地軟件,來存儲測試過程中獲取到的相關信息,導緻洩漏。
  4. 瞞報問題,對於髮現的敏感信息未完全上報明顯有所保留,或髮現漏洞後1週內未上報相關漏洞。
  5. 客戶影響,測試輕微影響到了其他用戶的産品使用引起少量投訴等不良反饋。

第二類事件:
  1. 生産事故,測試造成重要業務中斷直接引髮大麵積故障。
  2. 危害用戶,測試影響了大量用戶,造成用戶側大量投訴
  3. 敏感數據,獲取敏感數據請求不要超過50條。
    注:敏感數據請求50條是底線,但不意味着49條就合規,平時測試不要超過5條;法律規定不得獲取超過50條以上個人信息,因此越權漏洞需要謹慎,保証自身安全,專業的滲透測試中“可控”也是要求之一。
  4. 深度利用,拒絶內網滲透,禁止獲取內網權限後在內網使用掃描器、或橫向接觸非測試靶機類目標、獲取內網應用/主機權限等。
  5. 完整性破壞,使用越權刪除等問題,對線上繫統造成完整性的破壞,導緻重要數據丟失。
  6. 可用性破壞,使用dos類缺陷或其他手法(如ddos或cc攻擊等),對線上繫統造成了可用性的破壞,導緻繫統不可用。
  7. 社工攻擊,如使用釣魚郵件進行攻擊,進一步種植木馬病毒、竊取公司機密等。
  8. 其他故意危害計算機信息網絡安全導緻嚴重後果的行爲。

無意的下載、刪除等行爲,請立刻刪除本地數據、恢複線上業務、報備漏洞審核同學。

資産收錄範圍:

*.adspower.com

*.adspower.net

桌麵客戶端(三端)


漏洞獎勵標準

漏洞單價表:人民幣/元,未含稅。海外採取固定匯率 (可根據情況動態調整)
漏洞等級 嚴重 高危 中危 低危
單價 6000 3000 1500 200
開始使用 AdsPower,推動您的業務收入
開啟免費試用