域名解析包括泛域名解析_安恒安全响应中心（安恒SRC）奖励标准

安恒安全响应中心

奖项标准

安恒证券

欢迎大家报告任何与我们业务相关的安全问题，提交相关漏洞，帮助我们不断提升网络安全能力。

安恒SRC官网：

安恒安全响应中心

漏洞覆盖范围

安恒信息对外的业务系统（所有能够被外部互联网直接访问的安恒信息资产）。

* 如果您不确定该资产是否属于安恒信息，您可以发送邮件确认。

安恒安全响应中心

业务漏洞评分标准

业务漏洞是指安恒信息所有线上业务的漏洞。

根据漏洞严重程度，外部业务系统漏洞等级分为【严重】、【高】、【中】、【低】四个等级。

【严肃的】

其危害程度十分严重，存在可直接通过互联网进入安恒信息内网的安全漏洞。

1）系统权限：指利用包括但不限于ssh、shell、3389、远程桌面控制权限、rce等安全漏洞及获取漏洞的过程，成功进入安恒信息内网。

2）内网穿透：指允许通过互联网访问内网（物理访问和SSRF除外），访问内网系统并执行任意操作的漏洞和流程，包括通过弱VPN密码进入内网，获取目标内网跳板等。

[高风险​​]

危害程度相当严重，可直接获取系统权限、云系统权限（部署在阿里云、腾讯云、华为云等）、业务管理员权限，重要信息泄露，任意文件操作等。

1）系统权限：指获取但不限于ssh、shell、3389、远程桌面控制权限、rce等，并能有效利用的漏洞或流程，包括但不限于可利用的堆栈溢出、可利用的浏览器use after free、可利用的远程缓冲区溢出等。

2）核心业务信息：指获取大量用户敏感信息的控制权，如获取下载、修改、删除权限等；包括SQL注入获取整个数据库（只允许读取数据库名和用户名字段）。

3）系统敏感信息：指泄露大量系统敏感信息的漏洞和进程。系统敏感信息包括但不限于服务器泄露的核心源代码。

4）重大经济损失：指操作过程中包括但不限于造成大量金钱（或可以套现的金钱等价物，如可以兑换话费的积分、可以兑换充值卡的积分等）的损失，以及与金钱相关的逻辑漏洞，如恶意消费漏洞、信用卡诈骗、资金窃取等。

5）业务权限：获取业务系统管理员权限，包括但不限于：管理员弱密码（非测试场所，须包含真实业务数据）。

6）任意文件操作：包括但不限于下载、删除任意文件。

【中等风险】

需要交互才能利用的漏洞、常见的越权操作、本地敏感信息泄露。

1）需要交互才能影响用户的漏洞：包括但不限于一般页面的存储型XSS。

2）普通越权操作：包括但不限于绕过限制修改任何用户信息、执行普通用户操作。

3）一般信息泄露：影响有限量的数据或有限敏感度、源代码或系统日志的非授权访问，包括但不限于涉及网盘的内部密码泄露、服务器或数据库含有敏感信息的源代码压缩包下载等。

4）SSRF漏洞：可直接访问内网，并获取echo的SSRF漏洞。

5）RCE无法执行命令，但可以通过平台查看记录。

[低风险]

1）一般信息泄露：包括但不限于目录浏览等。

2）反射型XSS：包括DOM XSS/Flash XSS。

3）URL重定向漏洞

4）短信DDOS

5）CSRF

不包含在奖励计划中（不会颁发任何奖励）

1）测试人员负责的业务系统的安全漏洞及威胁情报。

2）测试人员进行安全配置更改，导致安全漏洞，然后提交。

3）个人电脑的安全漏洞。

4）蜜罐引擎的安全漏洞。

5）测试业务系统的系统漏洞。

6）玄武盾分析的安恒信息用户站点。

7）危害程度较低的漏洞。如：Web路径泄露、系统路径泄露、邮件DDOS、自我XSS、框架注入​​、链接注入、网站后台泄露、服务器版本过低、内网IP地址泄露/域名泄露、401基础钓鱼认证、程序路径信任问题、不涉及敏感信息的信息泄露等。

8）无法证明危害的漏洞，比如无法获取敏感信息、注入、跨站、命令执行，但无法绕过防御设备的CORS漏洞；无法证明危害的CSRF。

9）非安全方面的bug，包括但不限于网页乱码、功能无法使用。

安恒安全响应中心

漏洞可重现性确定

1）同一个CGI文件/数据包对应的多个相同漏洞类型的漏洞被认为是同一个漏洞。

2）同一漏洞类型的多个漏洞，对应不同的CGI文件/数据包，是不同的漏洞。

3）同一个CGI文件/数据包对应的不同漏洞类型的漏洞属于不同的漏洞。

4）同一漏洞源产生的同一台服务器上的多个漏洞算一个漏洞。例如，某台服务器配置、应用程序框架的某个全局功能、同一个文件或模板、通配符域名解析等导致的多个问题；不同服务器中存在的漏洞都是不同的漏洞。一些在无数据测试环境中影响较小的漏洞会被评级较低。

5）关于弱口令（可向公众注册的系统不属于弱口令范围）。对于同一类型的弱口令，例如针对管理员权限的弱口令、VPN 系统的弱口令，每种类型只收取一次费用。如果通过弱口令后附加操作可以进一步获取数据和权限，则视情况收取费用。如果弱口令是自测导致的，则不收取费用。一些对无数据测试环境影响较小的漏洞，评级会较低。

6）如果漏洞B基于漏洞A，那么A和B被认为是重复的：比如通过注入漏洞（A）获取了写文件的权限，然后又上传了shell漏洞（B），那么会取危害更大的漏洞。

安恒安全响应中心

厂商保护机制

1）在0day漏洞首次对外媒体披露后的72小时内，安恒安全响应中心若收到0day漏洞利用报告，将不发放奖励。

2）同一工作日同一系统中同一类型漏洞最多奖励3个，超过3个则不发放奖励。

我们诚挚邀请安全专家、白帽子、社会团体向我们反馈安恒业务相关的安全漏洞，共同打造安全的网络环境，守护亿万用户的安全在线生活。

- 结尾 -