安全賞金計劃來了,獎金最高達¥6000!
在出海的過程中,任何安全漏洞都可能導緻嚴重的數據洩露和財務損失。
AdsPower 充分認識到用戶對安全的需求,並堅持不計成本地提供遠超行業平均水準的數據安全投入。
在過去的半年裡,我們進行了一繫列深層次的安全昇級:
但我們不滿足止步於此。正如微軟不斷修補繫統漏洞以確保用戶安全一樣,AdsPower 也緻力於打造一個更加可靠的應用環境。
因此,AdsPower 與「火線安全衆測平颱」攜手,開展了一場爲期 44 天的安全衆測活動。
這次活動吸引了衆多資深白帽子參與,他們配合 AdsPower 修複了數十個潛在安全問題,我們也爲貢獻者提供了近 40,000 元的現金獎勵。
目前,AdsPower 是行業中唯一一家敢於將自身的真實業務環境,提供給白帽子進行安全衆測的廠商。我們貼近實際運營,從用戶和黑客兩個角度,全麵評估 AdsPower 瀏覽器的安全性。
期待更多白帽子的加入我們的「安全賞金計劃」!
漏洞獎勵標準
漏洞單價表:人民幣/元,未含稅。
海外採取固定匯率 (可根據情況動態調整)
漏洞範圍
要獲得賞金,您需要報告一項或多項 AdsPower 中的安全漏洞。此類問題可能包括但不限於:
AdsPower 漏洞危害評定規則
嚴重
1.直接獲取繫統權限的漏洞。包括但不限於命令注入、遠程命令執行、上傳獲取WebShell。
2.嚴重級別的敏感信息洩露。包括但不限於對公司或者用戶造成巨大影響的信息洩露,多維度且數據量巨大的敏感數據,以及通過接口引髮的敏感信息洩露。
3.洩露大量核心敏感數據的漏洞,包括但不限於:核心DB的SQL注入漏洞、用戶敏感信息接口越權導緻的大範圍洩露。
4.無需用戶交互或簡單用戶交互的遠程代碼任意執行、遠程任意文件讀冩。
5.可直接獲取集群或堡壘機等關鍵基礎繫統管理員權限等漏洞。
中危
1.普通的信息洩露。包括但不限於影響數據量有限或者敏感程度有限的越權、源代碼或繫統日誌或無信息回顯的SSRF漏洞等信息洩露。
2.需受害者交互或其他前置條件才能獲取用戶身份信息的漏洞。包括但不限於包含用戶、網站敏感數據的 JSONHijacking、操作(如支付類操作、髮佈信息或修改個人賬號敏感信息類操作)的 CSRF、存儲型 XSS。
3.普通的邏輯缺陷和越權。包括但不限於一般的越權行爲和設計缺陷。
4.普通設計缺陷,包括但不限於登錄窗口可爆破(需提供成功案例)、弱口令等問題。
低危
1.輕微信息洩露,包括但不限於可登錄後颱但無權限或無數據操作的漏洞、PHPinfo、本地 SQL注入、近期日誌打印及配置等洩露情況。
2.隻在特定情況下才能獲取用戶信息的漏洞,包括但不限於反射 XSS(包括 DOM型)。
3.利用場景有限的漏洞,包括但不限於短信轟炸、URL跳轉、繫統的可撞庫接口等。
漏洞評定通用原則
1.弱口令問題:同一套繫統多個用戶弱口令問題隻確認第一個,後續提交算重複漏洞;同一個用戶弱口令可登陸不同繫統,算同一漏洞,合並處理。
2.對於SQL注入漏洞,須注出其中一條數據証明危害。嚴禁拖庫表。單純報錯無危害証明將會被忽略。
3.無特別聲明情況下,前後關聯漏洞合並處理,按級別最高的漏洞進行獎勵,如先提交弱口令進入後颱/內網漏洞,後提交進入後颱/內網的SQL注入、越權漏洞。後提交的SQL、越權漏洞均合並處理,審核員會與安全對接人員溝通是否允許繼續深入測試該繫統。如許可,可正常測試,髮現問題可單獨提交。
4.同一個漏洞源産生的多個漏洞計漏洞數量爲一,web層麵上同一域名或IP下均屬同一漏洞源,漏洞獎勵按級別最高的漏洞進行獎勵。
5.對於邊緣/廢棄業務繫統,根據實際情況降級處理。
6.對於利用條件苛刻的漏洞,根據實際情況降級處理。
7.嚴重敏感身份信息定義:至少包含3個敏感字段:姓名/身份証、銀行卡信息、手機號/郵箱、密碼、地址;對於不滿足上述條件的信息,將視信息的敏感程度降級處理。
8.對於已獲取繫統權限(如webshell),禁止下載源代碼審計。請事先聯繫審核員,審核員將會與安全對接人員溝通相關事宜,如果安全對接人員同意審計,再進行後續操作,髮現漏洞可單獨提交。否則,其行爲將視爲違規操作,一經髮現凍結賬戶。安全對接人員情況嚴重程度,保留追究法律責任的權利。
測試紅線
第一類事件:
1.漏洞洩密,漏洞內容主動洩漏給第三方。
2.數據留存,測試敏感信息洩漏(賬密、敏感key、訂單、人員身份信息等)問題,在漏洞確認後1個月未對測試過程中獲取到的相關信息進行完全刪除。
3.存儲不當,使用雲上網盤提供的在線存儲服務或包含網絡同步功能的本地軟件,來存儲測試過程中獲取到的相關信息,導緻洩漏。
4.瞞報問題,對於髮現的敏感信息未完全上報明顯有所保留,或髮現漏洞後1週內未上報相關漏洞。
5.客戶影響,測試輕微影響到了其他用戶的産品使用引起少量投訴等不良反饋。
第二類事件:
1.生産事故,測試造成重要業務中斷直接引髮大麵積故障。
2.危害用戶,測試影響了大量用戶,造成用戶側大量投訴
3.敏感數據,獲取敏感數據請求不要超過50條。注:敏感數據請求50條是底線,但不意味着49條就合規,平時測試不要超過5條;法律規定不得獲取超過50條以上個人信息,因此越權漏洞需要謹慎,保証自身安全,專業的滲透測試中“可控”也是要求之一。
4.深度利用,拒絶內網滲透,禁止獲取內網權限後在內網使用掃描器、或橫向接觸非測試靶機類目標、獲取內網應用/主機權限等。
5.完整性破壞,使用越權刪除等問題,對線上繫統造成完整性的破壞,導緻重要數據丟失。
6.可用性破壞,使用dos類缺陷或其他手法(如ddos或cc攻擊等),對線上繫統造成了可用性的破壞,導緻繫統不可用。
7.社工攻擊,如使用釣魚郵件進行攻擊,進一步種植木馬病毒、竊取公司機密等。
8.其他故意危害計算機信息網絡安全導緻嚴重後果的行爲。
無意的下載、刪除等行爲,請立刻刪除本地數據、恢複線上業務、報備漏洞審核同學。
當您髮現潛在安全漏洞時,可隨時通過官方郵件:security@adspower.net 向我們提交報告,AdsPower 安全團隊將第一時間進行驗証與處理。
點擊:www.adspower.net/bug-bounty,可以了解更多相關信息。
AdsPower 將持續加大對用戶信息安全的投入,力保用戶數據安全!