平台规则 v1.2.1

漏洞银行在此特别提醒您在成为漏洞银行用户之前,请认真阅读平台规则,确保您充分理解平台规则中各项内容和要求。您的注册、登录、使用、浏览漏洞银行(域名:bugbank.cn)等行为将视为对平台规则的接受,并同意接受平台规则的约束。

本平台规则可由漏洞银行随时更新,更新后的平台规则一旦公布即代替原来的规则内容,恕不再另行通知,您可在本平台查阅最新版平台规则。在漏洞银行修改平台规则后,如果您不接受修改后的内容,请立即停止使用漏洞银行提供的服务,您继续使用漏洞银行提供的服务将被视为接受修改后的内容。

您在使用漏洞银行的相关服务时,必须遵守中华人民共和国相关法律法规的规定,您应同意将不会利用本平台进行任何违法或不正当的活动,如有违反而造成任何法律后果,将独立承担所有相应的法律责任。

1. 漏洞规则

1.1 漏洞定义

对于每一个漏洞,分别有如下3个属性:漏洞技术评级、声望值、漏洞危害评级。

漏洞技术评级:从技术的角度对漏洞进行评级,由高到低分为A0-A9、Ax共11个等级。

漏洞危害评级:根据漏洞的实际危害进行评级,由高到低分为P0-P6、Px共8个等级。

声望值:用于衡量白帽子对网络安全的贡献度。

漏洞技术评级由平台审核专家评定,是对漏洞技术的综合评级。

漏洞危害评级由企业(或服务委托方)评定,用于衡量漏洞实际带来的危害。

声望值是白帽子所有贡献的叠加,参与平台风云榜排名与白帽个人价值的评定。

1.2 漏洞技术评级

漏洞技术评级:平台从技术的角度对漏洞进行评级,由高到低分为A0-A9、Ax共11个等级,Ax为最低等级。

为了更加客观的衡量白帽的技术能力,技术评级采用一套完整的评分体系,主要评分项目如下:

1) 漏洞技术难度:根据不同漏洞类型的测试技术难度进行相关评分;

2) 漏洞利用技巧:根据漏洞利用方式的创新性、独特性和复杂性进行相关评分;

3) 难度基准:针对漏洞百出的系统,难度基准会自动降低,反之难度基准会提高。难度基准会根据该企业单一系统的同类型漏洞数量进行评定,漏洞越多,难度基准越低,技术评级会受此影响而降低;

4) 漏洞报告:逻辑分明、表述详尽清晰、撰写专业的漏洞报告,将会获得更高评分。

特殊情况:若技术评定阶段,企业因技术升级或其他需要关停网站功能,则审核人员会延长一段审核期,若此期间功能仍未开放,则会根据漏洞报告和漏洞证明进行评定,详细准确的漏洞报告会获得应得的评定,反之无法评定的漏洞则会被关闭或打回,此处审核人员拥有评审权。

1.3 漏洞危害评级

漏洞危害评级:企业根据漏洞的实际危害进行评级,由高到低分为P0-P6、Px共8个等级,Px为最低等级。

企业在进行危害评级时,会参考如下标准进行评分,主要评分项目如下:

1) 后果危害评定:企业会根据漏洞对企业产生的危害后果进行危害评分,针对非核心业务系统,相应评分会降低。

2) 漏洞利用评定:如漏洞的利用难度很大,或企业在实际运营中已经进行了安全审计工作,如订单金额修改漏洞,在企业运营过程中会审计订单金额,不会实质发货造成损失的,此类漏洞会以实际造成危害为准进行评分。

3) 漏洞无法验证:由于企业系统不断升级或删减关闭部分功能,漏洞会在企业验证评级时无法复现,此时企业可能会降低评分或根据漏洞报告的情况进行适度评定。

1.4 声望值

声望值计算方式:

声望值由漏洞技术评级A经过规则计算而来。


声望获取方式:

1) 大量提交高质量漏洞;

2) 多参加平台活动;

3) 提交有额外声望值奖励的企业。

1.5 无效漏洞判定标准

1) 已经被公开在互联网中的漏洞;

2) 重复的漏洞;

3) 虚假的漏洞;

4) 一洞多投的漏洞;

5) 无法验证的漏洞;

6) 企业太小的漏洞;

7) 信息不详,无链接,无利用方法,无漏洞证明,或无危害证明的漏洞;

8) 使用自动化扫描器发现的安全漏洞;

9) 应用指纹或Banner信息;

10) 公开的文件或目录信息泄露;

11) 无危害的漏洞;

12) 需要社工企业雇员的漏洞;

13) 需要物理接触用户设备的漏洞;

14) 需要物理接触企业资产的漏洞;

15) DDoS,CC等会对企业网络环境造成危害的漏洞;

16) 提交ip但不指出ip和企业关联的漏洞;

17) 影响范围有限的漏洞;

18) 不在厂商测试范围内的漏洞。

1.6 漏洞处理流程

1) 提交报告:白帽子提交一份某企业高质量漏洞报告,包含漏洞详细描述,漏洞URL、参数、数据包等,漏洞对应的详细危害证明。

2) 漏洞评定:漏洞银行对白帽子提交的漏洞进行详细验证并给出声望分及技术评定,如果没有通过评定则本次报告提交过程结束。

3) 白帽确认:白帽要对自己技术评定结果进行确认。

4) 企业评定:通知相关企业、政府或国家漏洞库,企业根据自身情况对漏洞进行危害评估,并进行漏洞打赏。

5) 关闭:本次报告提交过程结束。

特别申明:您如果同意本平台对您所提交的漏洞做出的认定,出于保护企业与白帽利益的目的,请不要一洞多投,更不要将此漏洞泄露给第三方或用作非法用途。

审核排队:同一厂商的漏洞会按提交时间顺序进行审核。修改漏洞,会按照修改后的时间再次进行排队审核。


2. 奖励规则

2.1 平台奖励

平台奖励主要分为荣誉奖励和BK币奖励。

1) 荣誉奖励,我们给予声望值奖励以及榜单公示、声望值排行;

2) BK币奖励,平台有企业活动区和不定期不定形式的活动,参加活动便有可能获得平台奖励的BK币。

2.2 企业红包奖励

红包是指企业对白帽的价值进行认可的方式之一,大部分企业仅针对高质量、高威胁性的漏洞发放BK币红包,评定因素主要来自漏洞造成的影响范围(P等级)和数据泄漏的数量。在提交报告之前,请注意查看企业的奖励范围(P0-Pn)。

2.2.1 企业可能较为认可的漏洞

1. 直接获取业务服务器权限的漏洞。包括但不限于命令执行、上传webshell;

2. 直接导致严重信息泄漏的漏洞。包括但不仅限于核心 DB(资金、用户身份、订单) 的 SQL 注入,可获取大量核心用户的身份信息、订单信息、银行卡信息等数据的漏洞;

3. 直接导致严重影响的逻辑漏洞。包括订单价格任意修改等漏洞。

2.2.2 某企业高危害判定标准引用

1. 对企业应用系统充分挖掘可批量(30分钟内500条以上)获取客户类信息(包括客户姓名,收件地址、寄件地址,收件、寄件方电话号码);

2. 可批量(30分钟内可获500条以上)获取非公开用户联系信息(包括用户姓名、电话号码、客户地址、证件号、证件号码、订单信息等);

3. 可批量(30分钟内可获500条以上)获取非公开财务类信息(包括员工薪酬表、预算信息、财务报表、结算信息、提成信息、收入信息等);

4. 可批量(30分钟内可获500条以上)获取非公开交易类信息(用户的银行名称、银行帐号、户名、顺银的帐号、支付密码、信用记录等);

5. 可利用漏洞批量修改任意用户密码并成功登陆用户管理平台(用户中心)的漏洞;

6. 直接获取业务服务器权限的漏洞。包括但不限于任意命令执行、上传webshell、任意代码执行;

7. 直接导致严重的信息泄漏漏洞。包括但不限于核心DB的SQL注入漏洞;

8. 直接导致严重影响的逻辑漏洞。包括但不限于任意帐号密码更改漏洞;

9. 能直接批量盗取用户身份信息的漏洞。包括但不限于SQL注入;

10. 越权访问、越权修改。包括绕过认证访问后台、用户隐私类数据。

2.2.3 企业可能容易忽略的漏洞

1. 质量不高的低危害漏洞;

2. 框架性漏洞未打补丁前的批量扫描或提交,如Struts2,反序列化漏洞等;

3. 边缘站点或测试站点的漏洞;

4. 泄漏数据较少的漏洞;

5. 实际危害不大的漏洞;

6. 非常容易发现和修补的漏洞,如弱口令、目录遍历等;

7. 企业内部早已知晓的漏洞。

2.2.4 企业奖励中的问题

合并奖励:企业可能会对短时间内提交的相似漏洞进行合并奖励。


3. 白帽行为规范

3.1 平台鼓励与倡导的行为

1. 崇尚白帽精神,热爱信息技术与安全行业,充满正义感,挑战权威但不作恶;

2. 积极贡献社会,与黑产势力斗争,维护网络的健康秩序;

3. 尊重安全行业,积极倡导身边的人从事安全行业,加入信息安全大家庭,并时刻助力推动安全行业的发展;

4. 尊重平台,做事恪守规则,开放心态面对困难,保持自我成长,并积极贡献平台,与平台共同成长;

5. 积极分享新的技术与思路,帮助大家进步提升。

3.2 平台抵制与禁止的行为

1. 利用平台进行国家法律法规禁止的违法犯罪行为;

2. 恶意破坏平台公平公正性,利用不正当不正义方式,在平台中获利等行为,如创建小号进行恶意刷榜赚取平台排名奖励等行为;

3. 参与黑产等相关产业链的不法行为;

4. 恶意诋毁平台名誉,恶意传播非正当言论等行为,恶意破坏行业发展与行业合作;不尊重白帽人群、不尊重信息安全行业、不尊重技术等的言论行为;

5. 利用平台测试,非法存储与泄露任何与厂商测试内容和业务有关的信息行为;

6. 在测试过程中使用扫描器或进行未经备案高风险操作,包括不限于服务器提权操作、删除数据、修改数据、宕机服务器等一切对厂商业务造成影响的操作行为。

请白帽恪守职业精神,对待社会不越底线,对待行业不作恶,对待平台不越规,一切从正义出发,做人做事恪守正向原则,为我们热爱的行业注入阳光。

3.3 信誉机制

为了维持一个公平公正的平台环境,漏洞银行实行白帽子信誉度机制。信誉分体现了白帽在安全领域的信誉情况,信誉分为0-600区间的。每位白帽子的信誉分初始值为350。信誉分每周一更新一次。

更高的信誉有助于提高白帽接收到派发任务的机率,更多权益陆续增加中,请持续关注。

点滴信誉,重在积累。目前信誉分受到身份特质、信用历史、能力认可、参与程度、人脉关系共计五个维度的影响,通过在这五个维度中完善和积累信息,将有助于提高信誉分。

同时,对于违反国家法律,违反平台规定,做出与平台所倡导的积极价值观不符的一切行为,均会被扣除相应的信誉分值,并被记录到信誉记录里。多次或严重违规者,平台将采取封禁帐号等措施,进行严正处理。


3.4 安全测试规范

漏洞银行安全测试规范总则

1. 测试过程不应影响厂商业务的正常运行,漏洞证明不应产生实质性的破坏和业务影响,不应进行会造成网站拒绝服务或访问异常的测试;

2. 禁止对厂商进行社会工程学类攻击测试,不得欺骗欺诈被测厂商;

3. 厂商未明确授权内网测试时,请勿进行内网渗透;

4. 测试时不应使用不安全的测试方法和测试工具;

5. 不应获取漏洞证明之外的数据;

6. 不应公开或泄露任何厂商信息与测试任务信息;

7. 测试过程中的不确定性风险,请优先在本地测试环境中验证操作,确保线上测试的安全性。如无法排除风险,应中止此类测试;

8. 漏洞验证中,不得进行获取大量数据信息的操作,不造成网站异常,同时测试完成后,彻底删除存储到本地的测试信息和相关数据;

9. 对于发送较多数据包的测试,需控制发包数量和发包频率,不应造成厂商业务异常。

操作类漏洞

针对于增加、删除、修改等可能造成网站业务异常的操作,安全测试方式说明如下:

1. 增加类漏洞测试

对于造成网站数据增加的操作,如写入内容和上传文件等,测试时不能影响网站业务的运行,不应写入、上传较多条目。

2. 删除类漏洞测试

对于可能造成网站文件或者数据内容删除的操作,请谨慎测试,不要影响网站业务运行。仅能删除自己上传的文件或自己的内容,不能删除目标的原始文件和内容,导致网站业务异常。

3. 修改类漏洞测试

对于可能造成网站文件或者数据修改的操作,请谨慎测试,测试时仅能修改测试帐号的数据,请勿修改网站原始文件或者原始数据,导致网站异常。

4. 其他

可获得后台权限的漏洞,测试时不能影响厂商的业务,不应随意增删改后台业务功能和数据。

逻辑类漏洞

1. 支付类逻辑漏洞

对于支付类逻辑可能造成厂商直接经济损失的漏洞,需厂商明确授权此类漏洞可测试时才可进行测试,如厂商未明确授权测试支付逻辑漏洞,请勿测试。

如厂商明确授权可测试支付逻辑漏洞,测试时,为保障双方利益,请以小额商品进行测试,保障测试不会造成较大损失,收货地址请填写非真实地址(如“xxxxxxxxx”),确保厂商不会误操作发货,测试验证完成后,务必取消订单。如遇特殊情况,请及时告知漏洞银行运营人员。

2. 转账类逻辑漏洞

不得转移正常用户的资金资产,测试过程中以测试帐号的方式进行该类漏洞的测试,并尽可能进行小额验证,同时测试完成后恢复正常业务。

3. 重置密码漏洞

仅修改测试帐号的密码,勿修改网站其他用户帐号的密码。

SQL注入类漏洞

SQL注入漏洞测试除证明漏洞存在外,不得进行额外的数据操作,特别是添加、删除、修改等操作语句,不得擅自进行数据库的操作。

SQL注入漏洞,仅注入5条(含)以内数据,用以证明漏洞存在即可,不要下载大量数据,并且测试验证完成后,需彻底删除下载的验证数据。

若注入点为增、删、改可造成数据修改的类型注入,应明确使用的测试方法带来的后果,并在本地测试验证后再进行测试,如风险不确定,则不进行测试,以保证不影响网站正常业务运行。

Getshell类漏洞

不应进行可能造成厂商系统访问异常的测试,不应上传非必需的测试文件,不应修改厂商系统或数据信息。

上传文件不应带有不明确的功能,不使用不安全的第三方测试工具或平台。明确此种方式造成的数据泄露需承担相应的责任。

上传成功之后,仅做getshell证明,测试验证完成后,将shell彻底删除,若无法删除请在漏洞报告中进行标明shell地址。不得进行增删改系统帐号、提权等修改数据或系统的操作。禁止下载厂商的数据。厂商未明确授权内网测试时,请勿进行内网渗透。

越权类漏洞

1. 越权获取数据仅获取5条以内的数据,用以证明漏洞存在即可,请勿下载大量数据,如若下载到本地,测试完成后需要彻底删除下载到本地的数据。

2. 越权操作类漏洞,仅对测试用户的数据进行操作,切勿对厂商原始用户的数据进行越权操作,以确保厂商的正常业务。

任意文件下载类漏洞

仅下载用以证明的文件即可,请勿下载大量文件和数据,测试完成后请将下载到本地的文件彻底删除。

XSS类漏洞

XSS测试时,不使用安全性不明的测试工具和平台,确保测试过程中不会造成数据泄露等风险。

XSS测试时,不应影响网站的正常业务运行。测试验证5条(含)以内数据,完成后需删除相应的测试语句,并删除获取到的数据信息。

接口类漏洞

接口漏洞测试时,不应影响网站的正常业务。

对于短信轰炸、邮件轰炸,应控制在20条以内。

对于接口爆破,应限制发送频率,不影响网站的正常业务,不造成网站功能异常或者延迟。

其他问题

1. 若测试过程中造成了对厂商实质性影响的操作,请第一时间联系漏洞银行运营人员,运营人员会第一时间协助进行事故损失的挽回。

2. 若测试过程遇到无法确认的风险问题或本规范未定义清楚的情况,请第一时间咨询漏洞银行运营人员,在官方指导下进行安全测试。

3.5 跟帖评论

用户须遵守《互联网用户帐号名称管理规定》《互联网跟帖评论服务管理规定》《中华人民共和国英雄烈士保护法》的相关要求,不得利用软件、雇佣商业机构及人员等方式散布信息,干扰跟帖评论正常秩序,误导公众舆论,不得发布、传播侵犯第三方名誉权、肖像权、姓名权、商标权、著作权、专利权等人身权或知识产权的内容及其他国家法律法规、公序良俗禁止、限制传播的如下内容:

  • 1)反对宪法所确定的基本原则的;
  • 2)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
  • 3)损害国家荣誉和利益的;
  • 4)煽动民族仇恨、民族歧视、破坏民族团结的;
  • 5)破坏国家宗教政策,宣扬邪教和封建迷信的;
  • 6)散布谣言,扰乱社会秩序,破坏社会稳定的;
  • 7)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
  • 8)欺诈、虚假、不准确或存在误导性的;
  • 9)侮辱、恐吓、诽谤他人或泄漏他人个人信息,侵害其合法权益的;
  • 10)侵犯他人知识产权或涉及第三方商业秘密的;
  • 11)歪曲、丑化、亵渎、否定英雄烈士事迹和精神的;
  • 12)侮辱、诽谤或者其他方式侵害英雄烈士的姓名、肖像、名誉、荣誉的;
  • 13)含有法律、行政法规禁止的其他内容的。

如平台发现、或通过第三方举报或投诉获知,您发布的内容违反上述条款,平台将有权同时:

  • 1)立即停止传输该信息,拒绝发布或直接删除相关内容;
  • 2)提出警示;
  • 3)限制使用功能、暂停更新;
  • 4)封禁或者关闭其帐号;
  • 5)保存有关记录,并及时向主管部门报告;
  • 6)对于列入黑名单的用户,平台有权禁止其重新注册。

如因用户违反上述条款引发任何侵权纠纷或行政处罚,用户应负责处理并承担全部法律责任,如给平台运营公司上海谋乐网络和技有限公司及其关联企业造成损失的,用户应承担全额赔偿责任。


3.6 举报机制

平台支持针对平台上的任何违法违规行为、违法用户进行举报,可通过页尾的联系电话或服务邮箱联系我们进行举报。


4. 团队规则

4.1 团队组建

白帽子可自由组建团队,每队至多15人。团队名创建后便无法修改。请妥善经营自己的团队,不得进行非法目的。

4.2 团队声望

团队声望值为团队成员加入团队之后所获得的声望总和。如有团队成员退出,在队期声望将不会被扣除。

4.3 加入团队

每个白帽子只能加入一支团队。如果想要加入新团队,需退出或解散之前的团队再申请加入。


5. 常见问题

1) 为什么GET Shell了反而得不到更高危害评定

可能原因有:

  • 1) 路径依赖(使用了单一路径进入系统,且单一路径很容易被发现和修复,如弱口令、目录遍历等);

  • 2) 漏洞的发现基于某些偶发性事件,利用如Struts2、反序列化漏洞等通用型漏洞,企业没有安装相应补丁前产生的空窗期;

  • 3) 边缘站点或者测试站点;

  • 4) 无实际危害的站点,泄露数据较少的站点。

2) 其他常见问题

若在平台上遇到其他未尽说明的问题,请及时联系漏洞银行运营人员(QQ:2272924679,2132915126),以帮助解决您在平台遇到的一切问题,在此望您对平台给予更多的理解和支持。


6. 免责声明

6.1 漏洞检测行为与攻击行为的区别

检测行为定义:在符合我国相关法律的前提下,帮助机构的发现程序漏洞,不利用漏洞对企业产生任何实质影响,仅为验证和发现漏洞,目的是单纯地为了帮助机构修复漏洞;

攻击行为定义:发现漏洞的过程违反了我国信息安全相关法律,违反了机构或企业的相关规定,利用漏洞对企业造成了实质上的损害。

6.2 漏洞银行平台营建、奉行的价值观

漏洞银行平台将努力营建并奉行一个开放且合法的网络安全新兴价值观,鼓励白帽合法的发现漏洞,找出企业在程序开发过程中面临潜在风险并帮助企业提前消除风险;同时鼓励企业对白帽的付出给予高度的肯定和认可;并在符合企业发展的视角适当给予白帽相应的劳动奖励。漏洞银行平台将站在企业和白帽双赢的视角,促进各行业的网络安全的得到高速发展,助力中国信息安全事业腾飞。

为了维护白帽的正当权益和保护企业的利益,对于在漏洞银行平台发布的漏洞,所有权归提交者所有,白帽需要保证研究漏洞的方法、方式、工具及手段完全符合国家相关法律规定,漏洞银行平台对此不承担任何法律责任。漏洞银行平台及团队尽量保证信息的可靠性,但是不绝对保证所有信息来源的可信,其中漏洞证明方法可能存在攻击性,但是一切都是为了说明问题而存在,漏洞银行平台对此不负担任何责任。企业在漏洞银行平台注册时需要确认能够代表企业身份授权白帽发现安全问题并且对安全问题及时处理和响应,漏洞银行平台对企业内部流程导致的问题不负担任何责任。用户在使用漏洞银行平台的相关服务时,必须遵守中华人民共和国相关法律法规的规定,用户应同意将不会利用漏洞银行平台进行任何违法或不正当的活动,包括但不限于下列行为∶

一、上载、展示、张贴、传播或以其它方式传送含有下列内容之一的信息:

  • 1)反对宪法所确定的基本原则的;
  • 2)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
  • 3)损害国家荣誉和利益的;
  • 4)煽动民族仇恨、民族歧视、破坏民族团结的;
  • 5)破坏国家宗教政策,宣扬邪教和封建迷信的;
  • 6)散布谣言,扰乱社会秩序,破坏社会稳定的;
  • 7)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
  • 8)侮辱或者诽谤他人,侵害他人合法权利的;
  • 9)含有虚假、有害、胁迫、侵害他人隐私、骚扰、侵害、中伤、粗俗、猥亵、或其它道德上令人反感的内容;
  • 10)含有中国法律、法规、规章、条例以及任何具有法律效力之规范所限制或禁止的其它内容的;

二、不得为任何非法目的而使用漏洞银行平台及漏洞银行平台提供的相关信息:

  • 1)不得利用漏洞银行平台进行任何可能对互联网或移动网正常运转造成不利影响的行为;
  • 2)不得利用漏洞银行平台提供的网络服务上传、展示或传播任何虚假的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、庸俗淫秽的或其他任何非法的信息资料;
  • 3)不得侵犯其他任何第三方的专利权、著作权、商标权、名誉权或其他任何合法权益;
  • 4)不得利用漏洞银行网络服务系统进行任何不利于漏洞银行的行为;

三、不利用漏洞银行服务和网站相关信息从事以下活动:

  • 1) 未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
  • 2) 未经允许,对计算机信息网络功能进行删除、修改或者增加的;
  • 3) 未经允许,对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
  • 4) 故意制作、传播计算机病毒等破坏性程序的;
  • 5) 其他危害计算机信息网络安全的行为。
  • 6)测试行为造成了对机构的攻击行为,包括但不限于数据泄露、数据丢失、服务异常、访问缓慢等;
  • 7)测试行为造成了对机构的声誉影响,包括但不限于曝光机构漏洞、勒索机构、倒卖机构数据、利用社会工程学欺骗机构等;
  • 8)测试行为造成了对机构的事实性损害,包括但不限于经济损失、舆论受损等;

白帽可以提交各种漏洞,不局限于传统意义上的产品漏洞,包括网络配置,服务器管理,钓鱼欺诈甚至是有证据的黑客事件都可作为有效的信息提交给漏洞银行平台。白帽不得将相关漏洞通过其他任何形式和其他平台或线上及线下任何形式载体重复提交、转载或公布。对于有涉及类似违反行为的白帽,漏洞银行平台将根据情况扣除白帽的积分、发布响应通告,甚至直接删除账户ID。

郑重声明:以上约定的相关条款如有违反,将追究其相关法律责任!


6.3 互联网威胁情报接收说明(试行)

为更好地维护互联网安全生态,推动中国互联网安全良性发展,平台自2019年9月5日起,开始对互联网威胁情报进行公益性质接收,并向国家级漏洞平台单位进行报送,以免高风险安全问题泄露并被不法利用。平台实名用户可在领取互联网威胁情报接收类任务后,提交相关互联网威胁情报,具体细则参见任务详情页说明。愿你我携手,共同打造互联网安全美好生态。

注意事项:

1. 互联网威胁情报处置流程

平台在接收到互联网威胁情报后,会第一时间进行审核,以确认其真实性、有效性。若真实有效,则将由平台做出技术评定及危害评定,待白帽确认后,我们将积极联系厂商并协助厂商对威胁情报进行认领、确认和修复,同时将威胁情报报送至国家级漏洞平台单位,威胁情报内容将严格保密、不予公开。

2. 互联网威胁情报奖励说明

互联网威胁情报在经过平台审核、白帽确认后,将向白帽发放互联网项目专属平台奖励——贡献值和漏洞币,试行期间,贡献值将有月度排名及奖励,漏洞币则可以一定比例兑换为BK币。


6.4 法律援助

1. 测试网站安全性,如何做才不犯法?

按照《刑法》第二百八十五条的规定,侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,构成非法侵入计算机信息系统罪或者非法获取计算机信息系统数据罪。构成此类型犯罪需同时具备三个条件:1、侵入计算机系统;2、获取计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制;3、情节严重的。(情节严重请参考《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》)。只有这三个条件同时具备才构成犯罪,要受到刑罚。即侵入计算机系统,但没有获取数据,或者获取数据,但情节不严重,不构成犯罪,不受刑法处罚。

2. 找到一个高危漏洞,能否联系厂商,向厂商索要礼物,是否犯法?

如果仅进入到厂商计算机系统进行测试,并没有获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,并没有造成严重后果,不构成犯罪,不用承担刑罚后果。但如果以漏洞向厂商索要礼物,此行为涉嫌敲诈勒索,情节比较严重时,将构成犯罪,需要承担刑事责任。

3. 测试时,不小心删除了网站数据,导致网站无法正常服务,如何处理?

根据《刑法》第二百八十六条规定,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,构成破坏计算机信息系统罪。是否够成上述罪名,取决于后果是否严重。按照《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的规定,只要"造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的"就可以构成这个罪名。在此情况下尽可能与网站所有者进行沟通,达成谅解,不予追究刑事责任。

4. 白帽子的行为是否会违反刑法,是否构成犯罪?

白帽子的行为很有可能会违反刑法第二百八十五条、第二百八十六条,是否构成犯罪,取决于白帽子的行为是否会产生严重的后果。第二百八十七条,是对利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的行为的规定,与白帽子行为无关。

5. 公开厂商漏洞是否存在法律问题?

白帽子公开漏洞,如果造成严重后果,将存在法律问题。比如,将细节进行公开,导致厂商网站漏洞全部暴露,该行为很有可能导致厂商网站被黑客入侵。如果黑客的破坏行为达到"后果严重"的标准,那么白帽子的行为肯定不会得到厂商认可。同时由于此种行为帮助黑客实施犯罪行为,这种情况下,白帽子的行为间接造成厂商损失,很有可能需对厂商所遭受的损失承担一定的赔偿责任。

6. 读取少量数据测试,是否存在法律风险?

按照法律规定,只要是进入他人的计算机系统,获取该计算机信息系统中存储、处理或者传输的数据,就有可能构成犯罪,但这个行为是否构成犯罪主要看后果是否严重,“后果严重”的标准以《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的规定为准,如果达到这个标准就构成犯罪。

7. 联系厂商存在漏洞,他们说要报警抓我,这种情况该怎么办?

按照《治安管理处罚法》第二十九条、《刑法》第二百八十五条的规定,只有在未经允许侵入厂商的计算机系统;获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制;情节严重的,这三点同时具备的前提下才构成犯罪。如果情节不严重,不构成犯罪,最多是一种轻微的违法行为,不应受到刑法处罚。

8. 拿到授权进行测试,授权范围内造成了致命性危害,会算违法吗?

授权测试,最好事先与计算机系统所有者就测试行为签署书面文件,就测试的方法、流程、相关的细节、有可能造成的后果都约定清楚。有了约定,如果由于失误造成致命性危害,并且是在约定范围内的,是不属于违法,也不用承担任何责任后果。

9. 测试支付逻辑漏洞时,需要注意哪些问题?

在测试支付逻辑漏洞时,白帽子请严格遵守测试规范,不得对厂商造成实际的业务损失和影响。