公告 / VIPKID安全响应中心安全漏洞处理和评分标准V2.0

作者:VKSRC 公布时间:2019-10-25 阅读次数:1086

各位白帽安全专家好,

VIPKID安全响应中心漏洞处理和评分标准V2.0版本上线了!

本次更新的重点内容有:

1、新增漏洞接收范围:蜂校业务(*.vipfengxiao.com)

2、提升个人季度奖励标准,最高奖励由10000元提升至15000元

3、新增风险说明,请在测试过程中重点关注

风险说明摘录,如下:

1. 反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞等。对于发生上述行为的,VIPKID将追究其法律责任;

2. 测试漏洞时应尽量避免直接修改页面、重复弹框(XSS验证建议使用log)、盗取cookie、获取其他用户信息等攻击性较强的payload(如果是测试盲打,请使用dnslog)。如不慎使用了攻击性较强的payload,请及时删除,否则VIPKID将追究其法律责任;

3. 测试结果应仅限能证明漏洞存在并可被利用即可(即POC),严禁利用漏洞进行非法操作,包括但不限于拖库、内网渗透等,否则VIPKID将追求其法律责任;

4. 严禁使用自动化漏扫工具发起高频扫描行为,造成业务系统或网络不可用的情况,对于违反约定造成严重后果的VIPKID将追究其法律责任;

5. sql注入要求至少到注出数据库名称,不允许获取超过10条数据,延时注射联系VKSRC管理人员,避免对业务造成影响;

详情查询:https://security.vipkid.com.cn/static/uploads/VKSRC.pdf

感谢您的关注。