AdsPower
AdsPower
AdsPower

安全赏金计划来了,奖金最高达¥6000!

By AdsPower
1,103 Views

安全赏金计划来了,奖金最高达¥6000!


在出海的过程中,任何安全漏洞都可能导致严重的数据泄露和财务损失。

AdsPower 充分认识到用户对安全的需求,并坚持不计成本地提供远超行业平均水准的数据安全投入。

在过去的半年里,我们进行了一系列深层次的安全升级


安全赏金计划来了,奖金最高达¥6000!

但我们不满足止步于此。正如微软不断修补系统漏洞以确保用户安全一样,AdsPower 也致力于打造一个更加可靠的应用环境。

因此,AdsPower 与「火线安全众测平台」携手,开展了一场为期 44 天的安全众测活动。

安全赏金计划来了,奖金最高达¥6000!

这次活动吸引了众多资深白帽子参与,他们配合 AdsPower 修复了数十个潜在安全问题,我们也为贡献者提供了近 40,000 元的现金奖励。

目前,AdsPower 是行业中唯一一家敢于将自身的真实业务环境,提供给白帽子进行安全众测的厂商。我们贴近实际运营,从用户和黑客两个角度,全面评估 AdsPower 浏览器的安全性。

期待更多白帽子加入我们的「安全赏金计划」!


漏洞奖励标准

漏洞单价表:人民币/元,未含税。

海外采取固定汇率 (可根据情况动态调整)

安全赏金计划来了,奖金最高达¥6000!


漏洞范围

要获得赏金,您需要报告一项或多项 AdsPower 中的安全漏洞。此类问题可能包括但不限于:

安全赏金计划来了,奖金最高达¥6000!




AdsPower 漏洞危害评定规则

严重

1.直接获取系统权限的漏洞。包括但不限于命令注入、远程命令执行、上传获取WebShell。

2.严重级别的敏感信息泄露。包括但不限于对公司或者用户造成巨大影响的信息泄露,多维度且数据量巨大的敏感数据,以及通过接口引发的敏感信息泄露。

3.泄露大量核心敏感数据的漏洞,包括但不限于:核心DB的SQL注入漏洞、用户敏感信息接口越权导致的大范围泄露。

4.无需用户交互或简单用户交互的远程代码任意执行、远程任意文件读写。

5.可直接获取集群或堡垒机等关键基础系统管理员权限等漏洞。

中危

1.普通的信息泄露。包括但不限于影响数据量有限或者敏感程度有限的越权、源代码或系统日志或无信息回显的SSRF漏洞等信息泄露。

2.需受害者交互或其他前置条件才能获取用户身份信息的漏洞。包括但不限于包含用户、网站敏感数据的 JSONHijacking、操作(如支付类操作、发布信息或修改个人账号敏感信息类操作)的 CSRF、存储型 XSS。

3.普通的逻辑缺陷和越权。包括但不限于一般的越权行为和设计缺陷。

4.普通设计缺陷,包括但不限于登录窗口可爆破(需提供成功案例)、弱口令等问题。

低危

1.轻微信息泄露,包括但不限于可登录后台但无权限或无数据操作的漏洞、PHPinfo、本地 SQL注入、近期日志打印及配置等泄露情况。

2.只在特定情况下才能获取用户信息的漏洞,包括但不限于反射 XSS(包括 DOM型)。

3.利用场景有限的漏洞,包括但不限于短信轰炸、URL跳转、系统的可撞库接口等。


漏洞评定通用原则

1.弱口令问题:同一套系统多个用户弱口令问题只确认第一个,后续提交算重复漏洞;同一个用户弱口令可登陆不同系统,算同一漏洞,合并处理。

2.对于SQL注入漏洞,须注出其中一条数据证明危害。严禁拖库表。单纯报错无危害证明将会被忽略。

3.无特别声明情况下,前后关联漏洞合并处理,按级别最高的漏洞进行奖励,如先提交弱口令进入后台/内网漏洞,后提交进入后台/内网的SQL注入、越权漏洞。后提交的SQL、越权漏洞均合并处理,审核员会与安全对接人员沟通是否允许继续深入测试该系统。如许可,可正常测试,发现问题可单独提交。

4.同一个漏洞源产生的多个漏洞计漏洞数量为一,web层面上同一域名或IP下均属同一漏洞源,漏洞奖励按级别最高的漏洞进行奖励。

5.对于边缘/废弃业务系统,根据实际情况降级处理。

6.对于利用条件苛刻的漏洞,根据实际情况降级处理。

7.严重敏感身份信息定义:至少包含3个敏感字段:姓名/身份证、银行卡信息、手机号/邮箱、密码、地址;对于不满足上述条件的信息,将视信息的敏感程度降级处理。

8.对于已获取系统权限(如webshell),禁止下载源代码审计。请事先联系审核员,审核员将会与安全对接人员沟通相关事宜,如果安全对接人员同意审计,再进行后续操作,发现漏洞可单独提交。否则,其行为将视为违规操作,一经发现冻结账户。安全对接人员情况严重程度,保留追究法律责任的权利。


测试红线

第一类事件:

1.漏洞泄密,漏洞内容主动泄漏给第三方。

2.数据留存,测试敏感信息泄漏(账密、敏感key、订单、人员身份信息等)问题,在漏洞确认后1个月未对测试过程中获取到的相关信息进行完全删除。

3.存储不当,使用云上网盘提供的在线存储服务或包含网络同步功能的本地软件,来存储测试过程中获取到的相关信息,导致泄漏。

4.瞒报问题,对于发现的敏感信息未完全上报明显有所保留,或发现漏洞后1周内未上报相关漏洞。

5.客户影响,测试轻微影响到了其他用户的产品使用引起少量投诉等不良反馈。

第二类事件:

1.生产事故,测试造成重要业务中断直接引发大面积故障。

2.危害用户,测试影响了大量用户,造成用户侧大量投诉

3.敏感数据,获取敏感数据请求不要超过50条。注:敏感数据请求50条是底线,但不意味着49条就合规,平时测试不要超过5条;法律规定不得获取超过50条以上个人信息,因此越权漏洞需要谨慎,保证自身安全,专业的渗透测试中“可控”也是要求之一。

4.深度利用,拒绝内网渗透,禁止获取内网权限后在内网使用扫描器、或横向接触非测试靶机类目标、获取内网应用/主机权限等。

5.完整性破坏,使用越权删除等问题,对线上系统造成完整性的破坏,导致重要数据丢失。

6.可用性破坏,使用dos类缺陷或其他手法(如ddos或cc攻击等),对线上系统造成了可用性的破坏,导致系统不可用。

7.社工攻击,如使用钓鱼邮件进行攻击,进一步种植木马病毒、窃取公司机密等。

8.其他故意危害计算机信息网络安全导致严重后果的行为。

无意的下载、删除等行为,请立刻删除本地数据、恢复线上业务、报备漏洞审核同学。




当您发现潜在安全漏洞时,可随时通过官方邮件:security@adspower.net 向我们提交报告,AdsPower 安全团队将第一时间进行验证与处理。

点击:www.adspower.net/bug-bounty可以了解更多相关信息。

AdsPower 将持续加大对用户信息安全的投入,力保用户数据安全!




了解更多

《我在AdsPower上的数据安全吗?看完就明白了》

《力保数据安全,这很AdsPower。》

AdsPower

与AdsPower一起,开启多账号管理新篇章

安全赏金计划来了,奖金最高达¥6000!