安全賞金計劃來了,獎金最高達¥6000!

3 months ago 23
BOOK THIS SPACE FOR AD
ARTICLE AD

AdsPower 指紋瀏覽器

在出海的過程中,任何安全漏洞都可能導致嚴重的數據洩露和財務損失。

AdsPower 充分認識到用戶對安全的需求,並堅持不計成本地提供遠超行業平均水準的數據安全投入。

在過去的半年裡,我們進行了一系列深層次的安全升級:

但我們不滿足止步於此。 正如微軟不斷修補系統漏洞以確保用戶安全一樣,AdsPower 也致力於打造一個更加可靠的應用環境。

因此,AdsPower 與「火線安全眾測平台」攜手,開展了一場為期 44 天的安全眾測活動。

這次活動吸引了眾多資深白帽子參與,他們配合 AdsPower 修復了數十個潛在安全問題,我們也為貢獻者提供了近 40,000 元的現金獎勵。

目前,AdsPower 是行業中唯一一家敢於將自身的真實業務環境,提供給白帽子進行安全眾測的廠商。 我們貼近實際運營,從用戶和黑客兩個角度,全面評估 AdsPower 瀏覽器的安全性。

期待更多白帽子的加入我們的「安全賞金計劃」!

漏洞獎勵標準

漏洞單價表:人民幣/元,未含稅。

海外採取固定匯率 (可根據情況動態調整)

漏洞範圍

要獲得賞金,您需要報告一項或多項 AdsPower 中的安全漏洞。 此類問題可能包括但不限於:

AdsPower 漏洞危害評定規則

嚴重

1.直接獲取系統權限的漏洞。 包括但不限於命令注入、遠程命令執行、上傳獲取WebShell。

2.嚴重級別的敏感信息泄露。 包括但不限於對公司或者用戶造成巨大影響的信息泄露,多維度且數據量巨大的敏感數據,以及通過接口引發的敏感信息泄露。

3.洩露大量核心敏感數據的漏洞,包括但不限於:核心DB的SQL注入漏洞、用戶敏感信息接口越權導致的大範圍洩露。

4.無需用戶交互或簡單用戶交互的遠程代碼任意執行、遠程任意文件讀寫。

5.可直接獲取集群或堡壘機等關鍵基礎系統管理員權限等漏洞。

中危

1.普通的信息泄露。 包括但不限於影響數據量有限或者敏感程度有限的越權、源代碼或系統日誌或無信息回顯的SSRF漏洞等信息泄露。

2.需受害者交互或其他前置條件才能獲取用戶身份信息的漏洞。 包括但不限於包含用戶、網站敏感數據的 JSONHijacking、操作(如支付類操作、發布信息或修改個人賬號敏感信息類操作)的 CSRF、存儲型 XSS。

3.普通的邏輯缺陷和越權。 包括但不限於一般的越權行為和設計缺陷。

4.普通設計缺陷,包括但不限於登錄窗口可爆破(需提供成功案例)、弱口令等問題。

低危

1.輕微信息泄露,包括但不限於可登錄後台但無權限或無數據操作的漏洞、PHPinfo、本地 SQL注入、近期日誌打印及配置等洩露情況。

2.只在特定情況下才能獲取用戶信息的漏洞,包括但不限於反射 XSS(包括 DOM型)。

3.利用場景有限的漏洞,包括但不限於短信轟炸、URL跳轉、系統的可撞庫接口等。

漏洞評定通用原則

1.弱口令問題:同一套系統多個用戶弱口令問題只確認第一個,後續提交算重複漏洞;同一個用戶弱口令可登陸不同系統,算同一漏洞,合併處理。

2.對於SQL注入漏洞,須注出其中一條數據證明危害。 嚴禁拖庫表。 單純報錯無危害證明將會被忽略。

3.無特別聲明情況下,前後關聯漏洞合併處理,按級別最高的漏洞進行獎勵,如先提交弱口令進入後台/內網漏洞,後提交進入後台/內網的SQL注入、越權漏洞。 後提交的SQL、越權漏洞均合併處理,審核員會與安全對接人員溝通是否允許繼續深入測試該系統。如許可,可正常測試,發現問題可單獨提交。

4.同一個漏洞源產生的多個漏洞計漏洞數量為一,web層面上同一域名或IP下均屬同一漏洞源,漏洞獎勵按級別最高的漏洞進行獎勵。

5.對於邊緣/廢棄業務系統,根據實際情況降級處理。

6.對於利用條件苛刻的漏洞,根據實際情況降級處理。

7.嚴重敏感身份信息定義:至少包含3個敏感字段:姓名/身份證、銀行卡信息、手機號/郵箱、密碼、地址;對於不滿足上述條件的信息,將視信息的敏感程度降級處理。

8.對於已獲取系統權限(如webshell),禁止下載源代碼審計。 請事先聯繫審核員,審核員將會與安全對接人員溝通相關事宜,如果安全對接人員同意審計,再進行後續操作,發現漏洞可單獨提交。 否則,其行為將視為違規操作,一經發現凍結賬戶。 安全對接人員情況嚴重程度,保留追究法律責任的權利。

測試紅線

第一類事件:

1.漏洞洩密,漏洞內容主動洩漏給第三方。

2.數據留存,測試敏感信息泄漏(賬密、敏感key、訂單、人員身份信息等)問題,在漏洞確認後1個月未對測試過程中獲取到的相關信息進行完全刪除。

3.存儲不當,使用雲上網盤提供的在線存儲服務或包含網絡同步功能的本地軟件,來存儲測試過程中獲取到的相關信息,導致洩漏。

4.瞞報問題,對於發現的敏感信息未完全上報明顯有所保留,或發現漏洞後1周內未上報相關漏洞。

5.客戶影響,測試輕微影響到了其他用戶的產品使用引起少量投訴等不良反饋。

第二類事件:

1.生產事故,測試造成重要業務中斷直接引發大面積故障。

2.危害用戶,測試影響了大量用戶,造成用戶側大量投訴

3.敏感數據,獲取敏感數據請求不要超過50條。 註:敏感數據請求50條是底線,但不意味著49條就合規,平時測試不要超過5條;法律規定不得獲取超過50條以上個人信息,因此越權漏洞需要謹慎,保證自身安全,專業的滲透測試中「可控」也是要求之一。

4.深度利用,拒絕內網滲透,禁止獲取內網權限後在內網使用掃描器、或橫向接觸非測試靶機類目標、獲取內網應用/主機權限等。

5.完整性破壞,使用越權刪除等問題,對線上系統造成完整性的破壞,導致重要數據丟失。

6.可用性破壞,使用dos類缺陷或其他手法(如ddos或cc攻擊等),對線上系統造成了可用性的破壞,導致系統不可用。

7.社工攻擊,如使用釣魚郵件進行攻擊,進一步種植木馬病毒、竊取公司機密等。

8.其他故意危害計算機信息網絡安全導致嚴重後果的行為。

無意的下載、刪除等行為,請立刻刪除本地數據、恢複線上業務、報備漏洞審核同學。

當您發現潛在安全漏洞時,可隨時通過官方郵件:security@adspower.net 向我們提交報告,AdsPower 安全團隊將第一時間進行驗證與處理。

複製並搜索:www.adspower.net/bug-bounty,可以了解更多相關信息。

AdsPower將持續加大對用戶信息安全的投入,力保用戶數據安全!

Read Entire Article