漏洞奖励计划

• 1500

  高危

• 500

  中危

• 50

  低危

SRC简介

2018.12.18，丁香园安全应急响应中心（DXYSRC）正式上线。丁香园与漏洞盒子平台携手共建互联网安全新生态。

丁香园SRC的建立，旨在联合安全领域的个人以及团队共同发现潜在的安全威胁，让丁香园安全越来越坚固，全方位地保障丁香园用户的权益。

丁香园声明：在漏洞未修复前，我们希望您不要公开和传播。我们承诺：对每一份报告，都会有专门的安全人员进行跟进并及时反馈最新的处理结果，并且我们会按照“漏洞奖励方案”对您的付出表示感谢。利用漏洞损害用户利益、影响业务运营、盗取用户数据、恶意传播漏洞或数据等违法行为，无论是否以测试漏洞为借口，丁香园均将保留追究法律责任的权利。

白帽子提交漏洞前，请仔细阅读以下规则：

丁香园SRC最新漏洞收取规则更新：https://dxysrc.vulbox.com/news/detail-232

丁香园SRC最新漏洞收取规则更新：https://dxysrc.vulbox.com/news/detail-231

丁香园SRC最新漏洞收取规则更新：https://dxysrc.vulbox.com/news/detail-228

丁香园SRC测试注意事项更新：https://dxysrc.vulbox.com/news/detail-184

丁香园SRC最新漏洞收取规则更新：https://www.vulbox.com/news/detail-181

丁香园SRC测试注意事项更新：https://dxysrc.vulbox.com/news/detail-178

丁香园SRC最新漏洞收取规则更新：https://dxysrc.vulbox.com/news/detail-177

DXYSRC漏洞处理流程：https://dxysrc.vulbox.com/news/detail-169

DXYSRC漏洞等级评定标准：https://dxysrc.vulbox.com/news/detail-170

漏洞积分：

DXYSRC漏洞积分默认按照漏洞盒子平台B类厂商计算。非核心业务或边缘系统漏洞将按C类厂商积分计算。具体积分计算详见帮助中心[漏洞盒子积分系统]章节：https://www.vulbox.com/faq#earnSystem

每月白帽子及团队排行依据为白帽子提交DXYSRC漏洞对应积分。提交丁香园漏洞积分同时会计算到漏洞盒子赛季排行中。

漏洞规则

项目要求及注意事项

对白帽子测试要求如下：

1）禁止对非授权内的项目进行测试，对授权内项目测试时请注意保密事宜。

2）测试过程不得损害业务正常运行。不得以测试漏洞为借口，利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为。

3）禁止进行网络拒绝服务（DoS 或DDoS）测试。

4） 严禁下载源代码。若在不知情情况下下载，应及时告知厂商并删除。

5）测试短信炸弹漏洞时，请填写自己的手机号。严禁对其他用户号码进行轰炸测试。

6）测试SQL注入、越权读取数据类漏洞时，应采取手工注入，且获取的数据量不能超过10组。

7）禁止进行物理测试、社会工程学测试或任何其他非技术漏洞测试。

8）测试验证越权增删查改时，请自行注册两个测试账号进行测试。务必控制测试范围，不得危害系统正常数据。

9）尽量避免访问任何存储在我司信息系统内的数据，除非访问该数据为验证安全漏洞存在的必要步骤。如在本原则允许的测试过程中发现以下信息，请立即停止测试并及时通知丁香园信息安全中心：

a）个人识别信息；

b) 金融信息（信用信息或银行账户号码信息等）；

c) 企业的财产信息或商业秘密；

10）禁止在任何情况下泄露漏洞测试过程中所获知的任何数据。

11）在收到我司的明确书面授权之前，禁止公开披露或提供关于我司产品或服务安全漏洞的任何细节信息，不得进行任何漏洞负面炒作和公关。

12）我们反对和谴责一切以漏洞测试为借口，利用安全漏洞进行破坏、损害丁香园系统及用户的利益的攻击行为，我们保留追究法律责任的权利。