任务系统(试行)

1. 任务系统规则

1.1 任务分类

任务目前分为派发悬赏任务和长期任务两类。

派发悬赏任务:根据白帽子战绩与信誉等条件派发的任务,该类任务无法刷新获得,详细说明参见1.4 派发悬赏任务说明

长期任务:无需领取即可参与的任务,不定期发布,没有期限限制,参与长期任务可以积累战绩,获取更多声望与奖励,详细说明参见1.3 长期任务说明

1.2 任务生命周期

任务发布:线上企业会不定期发布悬赏任务,每个任务均有指定的任务期限、最大参与人数、任务奖励和领取期限。

平台会将悬赏任务按一定规则进行分发。

任务领取:白帽子可在领取期内领取适合自己的任务。

1.3 长期任务说明

平台现有长期任务均为平台线上企业发布的安全测试类任务。

白帽子可向对应企业提交漏洞,通过平台及对应企业审核后,可获取BK币及声望奖励,相关具体细则参见 2 漏洞规则3 奖励规则

1.4 派发悬赏任务说明

派发悬赏任务包括平台线上企业发布的安全测试类任务和平台发布的其他类型的特殊任务。

其中,派发的安全测试类任务在派发给白帽子的同时,会向已绑定微信的白帽子推送微信消息,向未绑定微信的白帽子发站内信,白帽子可在领取期内领取。

在领取此类任务后,白帽子可向对应企业提交漏洞,通过平台及对应企业审核后,可获取BK币及声望奖励,相关具体细则参见 2 漏洞规则3 奖励规则

对于其他类型的特殊任务,白帽子在接收到此类任务并领取后,可在任务结束时间前依照任务描述及任务完成条件中的说明,进行任务交付,相关具体细则参见1.5 特殊任务交付处理流程

目前,派发悬赏任务会优先派发给战绩优异、活跃度高且信誉良好的白帽子。试运行期间,提高信誉的方式有完成实名认证和绑定微信两种。

另外,有时派发悬赏任务会单独优先派发给具有上述特点的白帽子,称为专属优先派发任务(以下简称“专属任务”)。专属任务的领取期较短(一般为5分钟),若在领取期内白帽子未领取,则该专属任务将派发给其他白帽子;专属任务的专属期较短(一般为2小时),专属期过后,该任务将派发给其他白帽子。

1.5 特殊任务交付处理流程

任务交付:白帽子提交一份某任务高质量交付报告,交付内容需表述清晰,详实细致,如有需要,可配以截图和附件;

报告评定:漏洞银行协同任务发起方对白帽子提交的报告进行详细验证评定,并依照任务奖励中的说明对该交付进行奖励,如果没有通过评定则本次任务交付过程结束;

关闭:本次任务交付过程结束。

2. 漏洞规则

2.1 漏洞定义

对于每一个漏洞,分别有如下3个属性:漏洞技术评级、声望值、漏洞危害评级。

漏洞技术评级:平台从技术的角度对漏洞进行评级,由高到低分为A0-A9、Ax共11个等级。漏洞技术评级由平台评定,是对漏洞技术的客观公正的评级。

漏洞危害评级:企业根据漏洞的实际危害进行评级,由高到低分为P0-P6、Px共8个等级。漏洞危害评级由企业评定,用于衡量漏洞实际带来的危害。 声望值:用于衡量白帽子对网络安全的贡献度。声望值是白帽子所有贡献的叠加,参与平台风云榜排名与白帽个人价值的评定。

2.2 漏洞技术评级

漏洞技术评级:平台从技术的角度对漏洞进行评级,由高到低分为A0-A9、Ax共11个等级,Ax为最低等级。

2.3 漏洞危害评级

漏洞危害评级:企业根据漏洞的实际危害进行评级,由高到低分为P0-P6、Px共8个等级,Px为最低等级。

2.4 声望值

声望值计算方式:声望值由漏洞技术评级A经过规则计算而来。
声望获取方式

1) 大量提交高质量漏洞;

2) 多参加平台活动;

3) 提交有额外声望值奖励的企业;

2.5 无效漏洞判定标准

1) 已经被公开在互联网中的漏洞;

2) 重复的漏洞;

3) 虚假的漏洞;

4) 一洞多投的漏洞;

5) 无法验证的漏洞;

6) 企业太小的漏洞;

7) 信息不详,无链接,无利用方法,无漏洞证明,或无危害证明的漏洞;

8) 使用自动化扫描器发现的安全漏洞;

9) 应用指纹或Banner信息;

10) 公开的文件或目录信息泄露;

11) 无危害的漏洞;

12) 需要社工企业雇员的漏洞;

13) 需要物理接触用户设备的漏洞;

14) 需要物理接触企业资产的漏洞;

15) DDoS,CC等会对企业网络环境造成危害的漏洞;

16) 提交ip但不指出ip和企业关联的漏洞;

17) 影响范围有限的漏洞;

2.6 漏洞处理流程

1) 提交漏洞:白帽子提交一份某企业高质量漏洞报告;
声望获取方式

2) 漏洞评定:漏洞银行对白帽子提交的漏洞进行详细验证并给出声望分及技术评定,如果没有通过评定则本次漏洞提交过程结束;

3) 白帽确认:白帽要对自己技术评定结果进行确认;

4) 企业评定:通知相关企业、政府或国家漏洞库,企业根据自身情况对漏洞进行危害评估,支付BK币等(如果企业表示已通报过或者积极拒绝修复,将不给予奖励);

5) 关闭:本次漏洞提交过程结束


3. 奖励规则

3.1 平台奖励

平台奖励主要分为荣誉奖励和BK币奖励。

1) 荣誉奖励,我们给予声望值奖励以及榜单公示、声望值排行;

2) BK币奖励,平台有企业活动区和不定期不定形式的活动,参加活动便有可能获得平台奖励的BK币;

3.2 企业红包奖励

红包是指企业对白帽的价值进行认可的方式之一,大部分企业仅针对高质量、高威胁性的漏洞发放BK币红包,评定因素主要来自漏洞造成的影响范围(P等级)和数据泄漏的数量。在提交漏洞之前,请注意查看企业的奖励范围(P0-Pn)。

3.2.1 企业可能较为认可的漏洞

1) 直接获取业务服务器权限的漏洞。包括但不限于命令执行、上传webshell;

2) 直接导致严重信息泄漏的漏洞。包括但不仅限于核心 DB(资金、用户身份、订单) 的 SQL 注入,可获取大量核心用户的身份信息、订单信息、银行卡信息等数据的漏洞;

3) 直接导致严重影响的逻辑漏洞。包括订单价格任意修改等漏洞;

3.2.2 某企业高危害判定标准引用

1) 对企业应用系统充分挖掘可批量(30分钟内500条以上)获取客户类信息(包括客户姓名,收件地址、寄件地址,收件、寄件方电话号码)

2) 可批量(30分钟内可获500条以上)获取非公开用户联系信息(包括用户姓名、电话号码、客户地址、证件号、证件号码、订单信息等)

3) 可批量(30分钟内可获500条以上)获取非公开财务类信息(包括员工薪酬表、预算信息、财务报表、结算信息、提成信息、收入信息等)

4) 可批量(30分钟内可获500条以上)获取非公开交易类信息(用户的银行名称、银行账号、户名、顺银的账号、支付密码、信用记录等)

5) 可利用漏洞批量修改任意用户密码并成功登陆用户管理平台(用户中心)的漏洞

6) 直接获取业务服务器权限的漏洞。包括但不限于任意命令执行、上传webshell、任意代码执行

7) 直接导致严重的信息泄漏漏洞。包括但不限于核心DB的SQL注入漏洞

8) 直接导致严重影响的逻辑漏洞。包括但不限于任意帐号密码更改漏洞

9) 能直接批量盗取用户身份信息的漏洞。包括但不限于SQL注入

10) 越权访问、越权修改。包括绕过认证访问后台、用户隐私类数据

3.2.3 企业可能较为忽视的漏洞

1) 质量不高的的低危害漏洞;

2) 框架性漏洞未打补丁前的批量扫描或提交,如Struts2,反序列化漏洞等;

3) 边缘站点或测试站点的漏洞;

4) 泄漏数据较少的漏洞;

5) 数据泄漏危害不大的漏洞;

6) 非常容易发现和修补的漏洞,如弱口令、目录遍历等;

3.2.4 企业奖励中的问题

合并奖励:企业可能会对短时间内提交的相似漏洞进行合并奖励。


4. 信誉规则

4.1 信誉的定义

为了维持一个公平公正的平台环境,漏洞银行实行白帽子信誉分机制。信誉分体现了白帽在安全领域的信誉情况,信誉分为300-900区间的整数。每位白帽子的信誉分初始值为600-650。信誉分每周一更新一次。

4.2 信誉的作用

更高的信誉有助于提高白帽接收到派发任务的机率,更多权益陆续增加中,请持续关注。

4.3 信誉的更新

点滴信誉,重在积累。目前信誉分受到身份特质、信用历史、能力认可、参与程度、人脉关系共计五个维度的影响,通过在这五个维度中完善和积累信息,将有助于提高信誉分。更多细则参见 8.3 如何提高信誉分。


5. 技能点规则

5.1 技能点的定义

技能点是白帽在各专业领域内的实力体现,目前技能点被划分为WEB安全、APP安全、二进制安全共计三个专业领域。技能点为0-1000区间的小数。技能点实时更新。

5.2 技能点的作用

更高的技能点有助于提高白帽接收到对应专业领域派发任务的机率,更多权益陆续增加中,请持续关注。

5.3 技能点的更新

平台每个任务都对应一个领域,依做任务情况,将为白帽更新对应领域的技能点。做任务越多,技能点提高越快。


6. 白帽行为规范

6.1 漏洞银行禁止白帽如下测试行为

1) 在测试过程中使用扫描器;

2) 在测试过程中对机构或企业业务造成影响;

3) 在测试过程中泄露测试内容或数据;

4) 在测试过程中高风险操作,例如:服务器提权操作、删除数据、修改数据等;

5) 在测试过程中对企业业务进行拒绝服务攻击;

6.2 违反漏洞银行提交规则行为

1) 利用非平台低威胁漏洞的刷分行为;

2) 利用通用框架漏洞的刷分行为;

3) 提交虚假漏洞或漏洞报告细节不清晰无法验证漏洞的行为;

6.3 刷洞行为

为了保证漏洞评分和声望值的公平性,对于刷洞行为,平台会采取相应措施。

1) 同类型漏洞拆分提交;

2) 通用漏洞拆分提交;

3) 批量提交无用户小网站漏洞;

对此,如刷洞行为严重,会触发平台的信誉机制,情节恶劣的会直接冻结账户。


7. 团队规则

7.1 团队组建

白帽子可自由组建团队,每队至多15人。团队名创建后遍无法修改。请妥善经营自己的团队,平台会不定时举行团队活动。

7.2 团队声望

团队声望值为团队成员加入团队之后所获得的声望总和。如有团队成员退出,在队期声望将不会被扣除。

7.3 加入团队

每个白帽子只能加入一支团队。如果想要加入新团队,需退出或解散之前的团队再申请加入。


8. 常见问题

8.1 为什么GET Shell了反而得不到更高危害评定

可能原因有:

1) 路径依赖(使用了单一路径进入系统,且单一路径很容易被发现和修复,如弱口令、目录遍历等);

2) 漏洞的发现基于某些偶发性事件,利用如Struts2、反序列化漏洞等通用型漏洞,企业没有安装相应补丁前产生的空窗期;

3) 边缘站点或者测试站点;

4) 无实际危害的站点,泄露数据较少的站点。

8.2 如何提高信誉分

身份特质:

进行实名认证,绑定微信,成为圈主或队长,都将有助于提高本维度信誉分。

信用历史:

信用历史是指你过往的履约记录。丰富的履约记录将帮助你获得更高的信誉分,违规行为将给你的信誉分带来负面影响。

能力认可:

更多地领取并做任务,获得更多声望及奖励将提高你在本维度的信誉分。

参与程度:

我们会综合评估你在漏洞银行平台各方面的参与程度,这些信息包括活跃度、分享行为、反馈行为,在这些方面投入时间将能提高你的信誉分。

人脉关系:

我们会综合考虑你在人际往来中的影响力及好友(互相关注)的信用状况,以及你参与战队、圈子的情况,丰富且积极的人脉关系将为你的信誉分带来提升。