活动介绍

“X漏洞奖励计划”是微步在线X情报社区推出的一款针对“未公开详情”漏洞的奖励计划,目标是以更短的时间,给更多的钱(这可能是你能找到的,国内为0day付费最高的奖励计划)。我们致力于成为国内最好的漏洞奖励平台,帮助防护漏洞,守护数字世界的和平安定。

活动定位
  1. 时间短,价格高。争取在最短的反馈时间内,给安全研究员争取可能是行业内最高的奖金。
  2. 先定价,再给洞。尊重所有安全研究员的研究成果,不给羞辱式的奖金。定价后,再提交漏洞详情。
  3. 重防护,不破坏。收到的漏洞用来促进协同防御,保护网络安全,提升产品能力,配合厂商修复,不做破坏行为。
活动红线

拒绝一洞多交,一鱼多吃,如发现拉入黑名单,永不启用。

漏洞接收要求与范围

要求:

  1. 只收可利用的Exploit,不收"存在可能性"的漏洞。
  2. 只收通用漏洞,不收事件型漏洞。
  3. 只收录无权限要求的前台漏洞,重大系统后台漏洞酌情收录。
  4. 若满足以下任意一点,漏洞会拒绝收录或下调价格区间:
    • 近一年该产品连续曝出高危漏洞(5个以上)
    • 短期内提交同一系统漏洞数量超过5个
  5. 由fastjson,log4j等通用组件的已知漏洞所形成的漏洞不在0day漏洞收录范围内。
  6. 0day漏洞只收录影响产品最新版的漏洞,该版本须为厂商长期维护的主流版本。

其他要求:

  • 互联网上未公开漏洞详情(包括但不限于漏洞数据包、分析文章、PoC、Exp),已经公开在互联网上的不收录。
  • 认证绕过类漏洞、文件读取类漏洞公网资产独立IP数 >= 500,金融、能源、制造、政府、互联网任意一个行业中大型企业使用(需提交证明),否则将不会收录。
  • 组合漏洞,要求能最终达到RCE效果,且组合漏洞数不超过2个。如权限绕过+文件上传+文件包含不收录。
  • 无法确认是否影响最新版和提供环境的,将不会按照0day收录。
  • 非0day漏洞,提供至少5个公网利用成功的案例。

范围:

本次奖励计划主要接收Web漏洞,范围如下:

WEB容器、组件、框架以及中间件
  • Apache HTTPD
  • Nginx
  • IIS
  • Fastjson
  • Weblogic
  • Shiro
  • Solr
  • Tomcat
  • Jackson
  • Jboss
  • Django
  • ThinkPHP
  • Struts2
  • Spring
  • Websphere
  • Xstream
  • Jetty
  • ColdFusion
  • OpenResty
常见WEB应用
  • 各类主流OA
  • 各类主流协同办公平台
  • 各类主流移动办公平台
  • 各类主流ERP
  • 各类主流邮件服务
  • 各类主流CMS
  • Jira
  • Jenkins
  • Gitlab
  • Confluence
  • Harbor
  • WordPress
集控系统(WEB)
  • 各类主流堡垒机
  • 各类主流运维管理系统
  • 各类主流EDR
  • 各类主流安全网关
  • 各类主流安全审计系统
  • 各类主流云桌面
  • VMWare VCenter
  • VMware ESXi
  • VMware Horizon
  • Zabbix
网络设备(WEB)
  • 各类主流VPN
  • 各类主流防火墙
  • 各类主流视频会议系统
  • 各类主流物联网设备
  • F5
  • Citrix

漏洞类型:

提交参与奖励计划的漏洞类型包括:
  • 能够实现RCE效果的漏洞或组合漏洞(例如:远程代码执行、远程命令执行、文件上传GetShell)
  • 认证绕过(不包括弱口令)
  • 文件读取漏洞(能够获取系统任意文件,至少能够读取应用的配置文件)
漏洞定价规则

会根据以下维度综合评定漏洞价值。

  • 影响范围:受该漏洞影响的目标数量;
  • 利用难易程度:例如是否默认配置、是否多次交互、是否稳定利用;
  • 危害:例如是否RCE、getshell、任意文件上传;
  • 目标重要程度:例如是否属于边界设备、集权系统、基础设施;
  • 目标稀缺性:例如某应用、系统漏洞很少。
漏洞价值评定标准0day奖金上限非0day奖金上限
重要开源组件、互联网核心基础设施等对互联网有重大影响的组件。一洞一议一洞一议
用户使用量大、国家核心关键基础设施行业所使用的软件最高50w最高20w
常见的web系统,例如常见信创中的web系统最高10w最高3w

在收到提交的漏洞情报后,步刻会按照以上标准,评定漏洞价值与预计奖励金额,双方确认无异议后,进行后续的漏洞详细信息补充、漏洞验证与奖励发放流程。

提交及反馈流程

反馈流程:

  • 步刻收到用户提交的漏洞概要后,会在3个工作日内回复是否符合接收标准,如符合则会附上漏洞报价。如用户接受该报价,则需要进一步提交漏洞详细信息,步刻对漏洞验证评估后,会给出最终报价并与用户再次确认,用户无异议则步刻收录该漏洞,向用户下发1/2奖励。
  • 0day漏洞在审核通过满90天后报送厂商与监管,厂商确认为未知漏洞,则下发剩余奖励。
  • 非0day漏洞在审核通过后7天内互联网未公开该漏洞详情,则下发剩余奖励。
审核时间:工作日10:00~20:00

值得注意的是:

  1. 当出现以下任一情况,步刻将有权不发放剩余奖励:
    • 在整个反馈流程中,漏洞被修复或在其他渠道被披露
    • 在整个反馈流程中,互联网有公开漏洞细节信息
    • 监管确认重复
    • 发现存在一洞多交的情况
  2. 当出现以下任一情况,步刻将调整漏洞价格或终止漏洞审核流程
    • 漏洞详细信息与漏洞概要信息不符,例如:漏洞影响版本、漏洞类型、存在利用条件等
    • 提供的环境无法搭建、提供的环境不可控
    • 漏洞经过验证是已收录的重复漏洞
    • 审核漏洞详细信息时发现与漏洞概要信息有出入或信息有误,导致漏洞无法通过审核
    • 在提交之后有人提交相同漏洞
  3. 当出现下列情形之一的,步刻将对用户提交的漏洞自动判定为“不采用”,步刻将终止收集该漏洞:
    • 用户提交漏洞概要后,经步刻审核需要补充信息的,用户在5个工作日内未补充的;
    • 用户提交漏洞详细信息后,经步刻审核仍需要补充信息的,用户在5个工作日内未补充的。
    • 用户在确认漏洞奖励之前选择终止的,步刻将终止收集该漏洞,删除用户提交的漏洞信息,并承诺不会将用户提交的漏洞信息用于其他用途。
    • 用户提交漏洞信息后,经步刻审核,不符合收录要求的,将判定为“不采用”,步刻将终止收集该漏洞。
参与条件

个人用户、企业用户均可参与。

用户提交参与奖励计划的漏洞须为未经披露的、真实且有效的漏洞,即漏洞在提交给步刻前不曾提交给包括但不限于安全响应中心、媒体、社区、企业等其他任何第三方。

奖励发放

步刻将根据用户提供的漏洞质量,提供相应奖励。

奖励以微步币的形式发放,微步币可直接兑换现金等。了解详情 >

微步币仅限于X情报社区注册用户在X情报社区平台内兑换相应礼品使用。用户不应将所获得的微步币用于其他兑换或交易、转让给第三方或进行任何非法行为。兑换礼品的种类和所需微步币的数量可能会根据X情报社区活动运行阶段、礼品市价等随时进行调整。

根据国家税务相关规定,个人所得需要办理税务申报,步刻会帮助用户完成报税,税费由步刻承担。报税时,请按照步刻工作人员的指引,提供相应的材料。

微步币兑换原则如下:
  1. 微步币兑换现金:

    前半周(周一、周二、周三)兑换,则最晚可在当周周五到账;后半周(周四、周五、周六、周日)兑换,则最晚在下一周的周五前到账。如遇特殊原因,会存在到账时间顺延至下一周周五的情况。

  2. 微步币兑换实物奖品:

    每月15日前提交的兑换申请,用户兑换的礼品,步刻将在兑换当月最后一个工作日前发出,每月15日后提交的兑换申请,用户兑换的礼品,步刻将在兑换次月最后一个工作日前发出。

步刻重视每一位X情报社区伙伴的贡献,如果对本活动有任何的建议,欢迎通过邮箱(loudong@threatbook.cn)向步刻反馈。建议一经采纳,步刻将为您奉上精美礼品!

活动基本原则
  • 所有权:活动参与用户所提交的漏洞一经收录,且步刻发放奖励后,该漏洞所有权、使用权归步刻及关联方享有,用户不得在未经步刻书面授权的情况下再将该漏洞提供给其他第三方或进行其他获利行为。
  • 未公开:所提交漏洞须为尚未公开漏洞,且在向步刻提交前未向任何第三方提供。
  • 可证伪:提交的漏洞需要根据步刻要求提供信息,用于验证相关漏洞的真实性。无有效信息的漏洞情报将不被采用;无法证实或者伪造的漏洞情报将不予采用。
  • 诚实守信:参与活动的用户需要保证所提交漏洞是真实存在的,非伪造、变造、虚构或以其他违规、非法手段获得或提供的,否则步刻会视情况对违规用户进行责任追究。责任追究形式包括但不限于:

    永久取消违规用户参与X情报社区各类奖励活动的资格,违规用户将无法使用X情报社区服务。

    收回相关奖励及所兑换礼品,要求违规用户赔偿给步刻造成的一切损失。

  • 经步刻审核通过后的同一漏洞情报,步刻将奖励发放给最早提交者,提交已公开或步刻已掌握的漏洞情报,步刻将不予接收。
争议解决办法

在参与漏洞奖励计划过程中,如用户对漏洞奖励活动流程、漏洞评定等有异议的,请通过邮箱(loudong@threatbook.cn)与步刻交流反馈,步刻将本着合法合规、实事求是、以用户为中心的原则处理相关问题,积极响应用户的合理诉求,维护用户的合法权益;对于散布不实言论扰乱活动秩序及其他任何通过非正当手段干扰、破坏活动规则的行为,步刻亦将通过合法合规的手段维护自身合法权益。

实施日期

自2022年05月24日起实施

Q&A
奖励通过什么形式下发?是直接转账吗?
X漏洞奖励计划通过“微步币”发放奖励,1微步币价值5元,微步币可直接兑换现金或其他实物礼品。了解详情 >
为什么不直接给现金,而是给微步币换现金?对提交漏洞的研究员有什么影响么?
微步币是微步在线X情报社区发放奖励使用的统一形式。无论是提交情报还是漏洞,可累计微步币兑换现金,对提交漏洞的研究员没有影响。
漏洞提交后,用户多久可以获得第一次奖励?
当收到用户提交的漏洞情报后,步刻会在3个工作日内反馈,用户提交的漏洞是否符合接收标准,如符合,步刻将提供预计奖励方案。当用户认可奖励方案后,需要进一步提交该漏洞的详细信息,用来进行漏洞情报的审核与验证。验证成功后,步刻会为用户发放第一次奖励。当厂商进行漏洞信息与修复方法的披露后(最长不超过90天),步刻会为用户发放剩余奖励。
漏洞提交后,是否还可以将该漏洞提交给其他漏洞奖励平台?
漏洞奖励计划禁止一洞多交,当发现用户提交给步刻的漏洞存在提交给其他平台的情形,步刻有权利撤销对用户的奖励,情节严重的,步刻将永久取消该用户在X情报社区各类奖励计划参与资格,该用户将无法再访问X情报社区。
如有关于奖励计划的相关问题,如何联络咨询?
如果有任何关于漏洞奖励计划细节、流程、评定标准等问题,可以邮件联络loudong@threatbook.cn,步刻将及时为用户解决。