各位白帽安全专家好，

VIPKID安全响应中心漏洞处理和评分标准V2.0版本上线了！

本次更新的重点内容有：

1、新增漏洞接收范围：蜂校业务（*.vipfengxiao.com）

2、提升个人季度奖励标准，最高奖励由10000元提升至15000元

3、新增风险说明，请在测试过程中重点关注

风险说明摘录，如下：

1. 反对和谴责一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益的黑客行为，包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞等。对于发生上述行为的，VIPKID将追究其法律责任；

2. 测试漏洞时应尽量避免直接修改页面、重复弹框（XSS验证建议使用log）、盗取cookie、获取其他用户信息等攻击性较强的payload（如果是测试盲打，请使用dnslog）。如不慎使用了攻击性较强的payload，请及时删除，否则VIPKID将追究其法律责任；

3. 测试结果应仅限能证明漏洞存在并可被利用即可（即POC），严禁利用漏洞进行非法操作，包括但不限于拖库、内网渗透等，否则VIPKID将追求其法律责任；

4. 严禁使用自动化漏扫工具发起高频扫描行为，造成业务系统或网络不可用的情况，对于违反约定造成严重后果的VIPKID将追究其法律责任；

5. sql注入要求至少到注出数据库名称，不允许获取超过10条数据，延时注射联系VKSRC管理人员，避免对业务造成影响；

详情查询：https://security.vipkid.com.cn/static/uploads/VKSRC.pdf

感谢您的关注。