“X漏洞奖励计划”是微步在线X情报社区推出的一款针对“未公开详情”漏洞的奖励计划,目标是以更短的时间,给更多的钱(这可能是你能找到的,国内为0day付费最高的奖励计划)。我们致力于成为国内最好的漏洞奖励平台,帮助防护漏洞,守护数字世界的和平安定。
- 时间短,价格高。争取在最短的反馈时间内,给安全研究员争取可能是行业内最高的奖金。
- 先定价,再给洞。尊重所有安全研究员的研究成果,不给羞辱式的奖金。定价后,再提交漏洞详情。
- 重防护,不破坏。收到的漏洞用来促进协同防御,保护网络安全,提升产品能力,配合厂商修复,不做破坏行为。
拒绝一洞多交,一鱼多吃,如发现拉入黑名单,永不启用。
要求:
- 只收可利用的Exploit,不收"存在可能性"的漏洞。
- 只收通用漏洞,不收事件型漏洞。
- 只收录无权限要求的前台漏洞,重大系统后台漏洞酌情收录。
- 若满足以下任意一点,漏洞会拒绝收录或下调价格区间:
- 近一年该产品连续曝出高危漏洞(5个以上)
- 短期内提交同一系统漏洞数量超过5个
- 由fastjson,log4j等通用组件的已知漏洞所形成的漏洞不在0day漏洞收录范围内。
- 0day漏洞只收录影响产品最新版的漏洞,该版本须为厂商长期维护的主流版本。
其他要求:
- 互联网上未公开漏洞详情(包括但不限于漏洞数据包、分析文章、PoC、Exp),已经公开在互联网上的不收录。
- 认证绕过类漏洞、文件读取类漏洞公网资产独立IP数 >= 500,或金融、能源、制造、政府、互联网任意一个行业中大型企业使用(需提交证明),否则将不会收录。
- 组合漏洞,要求能最终达到RCE效果,且组合漏洞数不超过2个。如权限绕过+文件上传+文件包含不收录。
- 无法确认是否影响最新版和提供环境的,将不会按照0day收录。
- 非0day漏洞,提供至少5个公网利用成功的案例。
范围:
本次奖励计划主要接收Web漏洞,范围如下:
| WEB容器、组件、框架以及中间件 |
|---|
|
| 常见WEB应用 |
|---|
|
| 集控系统(WEB) |
|---|
|
| 网络设备(WEB) |
|---|
|
漏洞类型:
- 能够实现RCE效果的漏洞或组合漏洞(例如:远程代码执行、远程命令执行、文件上传GetShell)
- 认证绕过(不包括弱口令)
- 文件读取漏洞(能够获取系统任意文件,至少能够读取应用的配置文件)
会根据以下维度综合评定漏洞价值。
- 影响范围:受该漏洞影响的目标数量;
- 利用难易程度:例如是否默认配置、是否多次交互、是否稳定利用;
- 危害:例如是否RCE、getshell、任意文件上传;
- 目标重要程度:例如是否属于边界设备、集权系统、基础设施;
- 目标稀缺性:例如某应用、系统漏洞很少。
| 漏洞价值 | 评定标准 | 0day奖金上限 | 非0day奖金上限 |
|---|---|---|---|
| 高 | 重要开源组件、互联网核心基础设施等对互联网有重大影响的组件。 | 一洞一议 | 一洞一议 |
| 中 | 用户使用量大、国家核心关键基础设施行业所使用的软件 | 最高50w | 最高20w |
| 低 | 常见的web系统,例如常见信创中的web系统 | 最高10w | 最高3w |
在收到提交的漏洞情报后,步刻会按照以上标准,评定漏洞价值与预计奖励金额,双方确认无异议后,进行后续的漏洞详细信息补充、漏洞验证与奖励发放流程。
反馈流程:
- 步刻收到用户提交的漏洞概要后,会在3个工作日内回复是否符合接收标准,如符合则会附上漏洞报价。如用户接受该报价,则需要进一步提交漏洞详细信息,步刻对漏洞验证评估后,会给出最终报价并与用户再次确认,用户无异议则步刻收录该漏洞,向用户下发1/2奖励。
- 0day漏洞在审核通过满90天后报送厂商与监管,厂商确认为未知漏洞,则下发剩余奖励。
- 非0day漏洞在审核通过后7天内互联网未公开该漏洞详情,则下发剩余奖励。
值得注意的是:
- 当出现以下任一情况,步刻将有权不发放剩余奖励:
- 在整个反馈流程中,漏洞被修复或在其他渠道被披露
- 在整个反馈流程中,互联网有公开漏洞细节信息
- 监管确认重复
- 发现存在一洞多交的情况
- 当出现以下任一情况,步刻将调整漏洞价格或终止漏洞审核流程
- 漏洞详细信息与漏洞概要信息不符,例如:漏洞影响版本、漏洞类型、存在利用条件等
- 提供的环境无法搭建、提供的环境不可控
- 漏洞经过验证是已收录的重复漏洞
- 审核漏洞详细信息时发现与漏洞概要信息有出入或信息有误,导致漏洞无法通过审核
- 在提交之后有人提交相同漏洞
- 当出现下列情形之一的,步刻将对用户提交的漏洞自动判定为“不采用”,步刻将终止收集该漏洞:
- 用户提交漏洞概要后,经步刻审核需要补充信息的,用户在5个工作日内未补充的;
- 用户提交漏洞详细信息后,经步刻审核仍需要补充信息的,用户在5个工作日内未补充的。
- 用户在确认漏洞奖励之前选择终止的,步刻将终止收集该漏洞,删除用户提交的漏洞信息,并承诺不会将用户提交的漏洞信息用于其他用途。
- 用户提交漏洞信息后,经步刻审核,不符合收录要求的,将判定为“不采用”,步刻将终止收集该漏洞。
个人用户、企业用户均可参与。
用户提交参与奖励计划的漏洞须为未经披露的、真实且有效的漏洞,即漏洞在提交给步刻前不曾提交给包括但不限于安全响应中心、媒体、社区、企业等其他任何第三方。
步刻将根据用户提供的漏洞质量,提供相应奖励。
奖励以微步币的形式发放,微步币可直接兑换现金等。了解详情 >
微步币仅限于X情报社区注册用户在X情报社区平台内兑换相应礼品使用。用户不应将所获得的微步币用于其他兑换或交易、转让给第三方或进行任何非法行为。兑换礼品的种类和所需微步币的数量可能会根据X情报社区活动运行阶段、礼品市价等随时进行调整。
根据国家税务相关规定,个人所得需要办理税务申报,步刻会帮助用户完成报税,税费由步刻承担。报税时,请按照步刻工作人员的指引,提供相应的材料。
微步币兑换现金:
前半周(周一、周二、周三)兑换,则最晚可在当周周五到账;后半周(周四、周五、周六、周日)兑换,则最晚在下一周的周五前到账。如遇特殊原因,会存在到账时间顺延至下一周周五的情况。
微步币兑换实物奖品:
每月15日前提交的兑换申请,用户兑换的礼品,步刻将在兑换当月最后一个工作日前发出,每月15日后提交的兑换申请,用户兑换的礼品,步刻将在兑换次月最后一个工作日前发出。
步刻重视每一位X情报社区伙伴的贡献,如果对本活动有任何的建议,欢迎通过邮箱(loudong@threatbook.cn)向步刻反馈。建议一经采纳,步刻将为您奉上精美礼品!
- 所有权:活动参与用户所提交的漏洞一经收录,且步刻发放奖励后,该漏洞所有权、使用权归步刻及关联方享有,用户不得在未经步刻书面授权的情况下再将该漏洞提供给其他第三方或进行其他获利行为。
- 未公开:所提交漏洞须为尚未公开漏洞,且在向步刻提交前未向任何第三方提供。
- 可证伪:提交的漏洞需要根据步刻要求提供信息,用于验证相关漏洞的真实性。无有效信息的漏洞情报将不被采用;无法证实或者伪造的漏洞情报将不予采用。
诚实守信:参与活动的用户需要保证所提交漏洞是真实存在的,非伪造、变造、虚构或以其他违规、非法手段获得或提供的,否则步刻会视情况对违规用户进行责任追究。责任追究形式包括但不限于:
永久取消违规用户参与X情报社区各类奖励活动的资格,违规用户将无法使用X情报社区服务。
收回相关奖励及所兑换礼品,要求违规用户赔偿给步刻造成的一切损失。
- 经步刻审核通过后的同一漏洞情报,步刻将奖励发放给最早提交者,提交已公开或步刻已掌握的漏洞情报,步刻将不予接收。
在参与漏洞奖励计划过程中,如用户对漏洞奖励活动流程、漏洞评定等有异议的,请通过邮箱(loudong@threatbook.cn)与步刻交流反馈,步刻将本着合法合规、实事求是、以用户为中心的原则处理相关问题,积极响应用户的合理诉求,维护用户的合法权益;对于散布不实言论扰乱活动秩序及其他任何通过非正当手段干扰、破坏活动规则的行为,步刻亦将通过合法合规的手段维护自身合法权益。
自2022年05月24日起实施
