3.所涉及漏洞在利用过程中依靠在内容上欺骗用户(例如钓鱼、诱导点击等)配合交互,并且交互次数超过2次及以上,我们不会对需要此类利用场景的漏洞进行奖励。 4.不仅影响萤石设备而且影响其他业界设备的开源及第三方漏洞(对萤石设备影响较大的漏洞可例外评估)。 5.基于非法获得的萤石机密信息所做的漏洞报告。 6.在上报萤...
1、本地拒绝服务漏洞。因为SDK导致的客户端本地拒绝服务,例如:解析文件格式、网络协议产生的崩溃,可使APP挂起或重新启动等。 2、轻微信息泄漏。包括但不仅限于路径信息泄漏、PHPinfo、异常信息泄露、有少量敏感信息的SVN信息泄漏,以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)。 3、难以利用但存在...
【理想SRC漏洞测试红线】 第一类事件: 1. 漏洞泄密,漏洞内容主动泄漏给第三方 2. 数据留存,测试敏感信息泄漏(账密、敏感key、订单、人员身份信息等)问题,在漏洞确认后1个月未对测试过程中获取到的相关信息进行完全删除 3. 存储不当,使用云上网盘提供的在线存储服务或包含网络同步功能的本地软件,来存储测试过程中...
3)若在项目开始时无特别说明,DoS类漏洞属于无影响漏洞 4)反射型XSS不再收取 5)通过高并发实现的短信轰炸 有效漏洞奖励标准 针对漏洞提交及确认有效的贡献者,YTOSRC将给予基础奖励。我们采用现金作为漏洞奖励单位,按所涉业务的重要性及漏洞影响来计算奖励金额: 不同的安全漏洞,根据漏洞的等级不同、业务范围不同、报...
华为SRC华为高度重视自身产品和业务的安全问题,通过和漏洞盒子共同合作 ,来帮助华为不断提升和完善自身产品和业务的安全性 。为此,漏洞盒子建立了华为专区,并会对安全漏洞给予高额奖励。 openEuler漏洞奖励计划 由开放原子开源基金会(OpenAtom Foundation)孵化及运营的开源项目 ...
与以上指定项目的安全问题无直接关联的“漏洞”,包括但不限于: a) 不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。 b) 无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。
4、单个系统不接收重复类型漏洞 5、漏洞等级评定标准请以官方公告为准 请各位白帽子测试过程严格遵守测试规则,测试过程如果对测试规则不清楚或其他任何疑问请及时联系运营人员。漏洞盒子将继续给白帽子提供优质体贴的服务,欢迎白帽子积极参与漏洞盒子企业SRC和众测项目。
各位白帽子在提交的站点漏洞URI和类型,如果和已经提交的同代码的不同环境站点(生产和非生产)的漏洞是一样的,经过官方人员经过核查后,确认为同代码不同环境的同一漏洞,则确认此漏洞为重复。如确认的漏洞已经修复,再出现新的漏洞点,按正常确认。 不同环境的站点域名举例: ...
在漏洞盒子提交有效漏洞,按照以下漏洞报价上涨20%结算 WEB类: APP类: 车机类: 【理想SRC漏洞等级评定标准】 根据报告危害程度分为严重、高危、中危、低危、无(忽略)五个等级,每个等级涵盖的奖励标准如下: WEB 重要程度划分 APP 重要程度划分 无 车机重要程度划分 ...
萤石SRC自2022年4月29日中午12点正式开始使用下方漏洞奖励范围,在此之前提交的漏洞仍然按照之前的奖励标准进行奖励,感谢各位对萤石SRC的关注与支持! 白帽QQ群:638543439(三群) 商务咨询:400-156-9866 客服QQ:3459476393 商务邮箱:mkt@vulbox.com 服务邮箱:partner@vulbox.com ...