安全赏金计划
AdsPower浏览器一直致力于保护广大用户的信息安全,非常欢迎白帽子们向我们反馈AdsPower浏览器和业务的安全漏洞,帮助我们提升系统和业务的安全性。反馈漏洞邮箱:security@adspower.net 。AdsPower漏洞危害评定规则
严重
-
直接获取系统权限的漏洞。包括但不限于命令注入、远程命令执行、上传获取WebShell。
-
严重级别的敏感信息泄露。包括但不限于对公司或者用户造成巨大影响的信息泄露,多维度且数据量巨大的敏感数据,以及通过接口引发的敏感信息泄露。
-
泄露大量核心敏感数据的漏洞,包括但不限于:核心DB的SQL注入漏洞、用户敏感信息接口越权导致的大范围泄露。
-
无需用户交互或简单用户交互的远程代码任意执行、远程任意文件读写。
-
可直接获取集群或堡垒机等关键基础系统管理员权限等漏洞。
高危
-
可利用的 SQL注入漏洞(获取 user)。
-
直接导致严重影响的逻辑漏洞。包括但不限于任意账号密码更改漏洞、任意用户登录漏洞。
-
客户端自身功能的漏洞。包括但不仅限于以远程方式获取客户端权限执行任意命令和代码。
-
越权访问。包括但不限于绕过认证访问管理后台,多维度敏感信息的越权访问。
-
本地任意代码执行。包括但不限于本地可利用的代码执行以及其它逻辑问题导致的本地代码执行漏洞。(因系统缺陷导致的DLL劫持导致的产品本地任意代码执行不在收录范围)
中危
-
普通的信息泄露。包括但不限于影响数据量有限或者敏感程度有限的越权、源代码或系统日志或无信息回显的SSRF漏洞等信息泄露。
-
需受害者交互或其他前置条件才能获取用户身份信息的漏洞。包括但不限于包含用户、网站敏感数据的 JSONHijacking、操作(如支付类操作、发布信息或修改个人账号敏感信息类操作)的 CSRF、存储型 XSS。
-
普通的逻辑缺陷和越权。包括但不限于一般的越权行为和设计缺陷。
-
普通设计缺陷,包括但不限于登录窗口可爆破(需提供成功案例)、弱口令等问题。
低危
-
轻微信息泄露,包括但不限于可登录后台但无权限或无数据操作的漏洞、PHPinfo、本地 SQL注入、近期日志打印及配置等泄露情况。
-
只在特定情况下才能获取用户信息的漏洞,包括但不限于反射 XSS(包括 DOM型)。
-
利用场景有限的漏洞,包括但不限于短信轰炸、URL跳转、系统的可撞库接口等。
漏洞评定通用原则
-
弱口令问题:同一套系统多个用户弱口令问题只确认第一个,后续提交算重复漏洞;同一个用户弱口令可登陆不同系统,算同一漏洞,合并处理。
-
对于SQL注入漏洞,须注出其中一条数据证明危害。严禁拖库表。单纯报错无危害证明将会被忽略。
-
无特别声明情况下,前后关联漏洞合并处理,按级别最高的漏洞进行奖励,如先提交弱口令进入后台/内网漏洞,后提交进入后台/内网的SQL注入、越权漏洞。后提交的SQL、越权漏洞均合并处理,审核员会与安全对接人员沟通是否允许继续深入测试该系统。如许可,可正常测试,发现问题可单独提交。
-
同一个漏洞源产生的多个漏洞计漏洞数量为一,web层面上同一域名或IP下均属同一漏洞源,漏洞奖励按级别最高的漏洞进行奖励。
-
对于边缘/废弃业务系统,根据实际情况降级处理。
-
对于利用条件苛刻的漏洞,根据实际情况降级处理。
-
严重敏感身份信息定义:
至少包含3个敏感字段:姓名/身份证、银行卡信息、手机号/邮箱、密码、地址;
对于不满足上述条件的信息,将视信息的敏感程度降级处理。 -
对于已获取系统权限(如webshell),禁止下载源代码审计。请事先联系审核员,审核员将会与安全对接人员沟通相关事宜,如果安全对接人员同意审计,再进行后续操作,发现漏洞可单独提交。否则,其行为将视为违规操作,一经发现冻结账户。安全对接人员情况严重程度,保留追究法律责任的权利。
测试红线
第一类事件:
-
漏洞泄密,漏洞内容主动泄漏给第三方。
-
数据留存,测试敏感信息泄漏(账密、敏感key、订单、人员身份信息等)问题,在漏洞确认后1个月未对测试过程中获取到的相关信息进行完全删除。
-
存储不当,使用云上网盘提供的在线存储服务或包含网络同步功能的本地软件,来存储测试过程中获取到的相关信息,导致泄漏。
-
瞒报问题,对于发现的敏感信息未完全上报明显有所保留,或发现漏洞后1周内未上报相关漏洞。
-
客户影响,测试轻微影响到了其他用户的产品使用引起少量投诉等不良反馈。
第二类事件:
-
生产事故,测试造成重要业务中断直接引发大面积故障。
-
危害用户,测试影响了大量用户,造成用户侧大量投诉
-
敏感数据,获取敏感数据请求不要超过50条。
注:敏感数据请求50条是底线,但不意味着49条就合规,平时测试不要超过5条;法律规定不得获取超过50条以上个人信息,因此越权漏洞需要谨慎,保证自身安全,专业的渗透测试中“可控”也是要求之一。 -
深度利用,拒绝内网渗透,禁止获取内网权限后在内网使用扫描器、或横向接触非测试靶机类目标、获取内网应用/主机权限等。
-
完整性破坏,使用越权删除等问题,对线上系统造成完整性的破坏,导致重要数据丢失。
-
可用性破坏,使用dos类缺陷或其他手法(如ddos或cc攻击等),对线上系统造成了可用性的破坏,导致系统不可用。
-
社工攻击,如使用钓鱼邮件进行攻击,进一步种植木马病毒、窃取公司机密等。
-
其他故意危害计算机信息网络安全导致严重后果的行为。
无意的下载、删除等行为,请立刻删除本地数据、恢复线上业务、报备漏洞审核同学。