通用性安全问题奖励计划(初定)

  • A+
所属分类:WooYun-Zone

360的库带计划在国内迈出了让白帽子得到物质奖励的第一步,并且得到了很多人的认可,加上乌云在处理客户端或者通用性安全漏洞上一直存在着缺陷,我们希望我们也可以在流程和奖励上做一些更积极的尝试,下面是一些关于乌云通用性漏洞奖励计划的更详细的一些想法:

1 漏洞奖励而不是购买,我们强烈反对以各种目的的漏洞购买行为,乌云通用漏洞奖励计划并不收购漏洞,相反我们要求坚持乌云现有的安全漏洞处理流程,但会为减少通用安全漏洞的扩散可能带来的影响而会对流程进行改进,漏洞会与现有乌云处理流程一样首先直接通知给相应厂商,然后再一段时间后引入能够消除该漏洞影响的安全厂商和白帽子,最后向公众公开的周期将延长至3个月

2 漏洞奖励而不是购买,我们给出的奖励并不代表着该漏洞实际的价值,相反我们认为任何一个安全漏洞本身蕴含的价值是非常大的,我们不应该以实际的物质价值来衡量,我们只能对那些不作恶而且愿意分享和帮助其他用户避免风险的白帽做出奖励,我们尽我们最大的努力来实现这一点

3 漏洞奖励而不是购买,我们一直认为安全漏洞的价值在于为用户避免了多大的价值损失,所以对于安全漏洞的评估我们会严格按照我们规定的标准进行,我们鼓励对漏洞的公开探讨和学习以最准确的评估该漏洞可能带来的影响

所以本次漏洞奖励的计划的范围为:

1 通用性安全漏洞(包括重点应用和非重点应用)

重点应用:影响较大,覆盖用户量广的重点软件列表(360安全浏览器 360安全卫士 QQ客户端 IE浏览器 淘宝旺旺 Discuz! phpwind Ecshop 该列表会持续更新)

其他应用:列表里的其他非重点软件(暴风影音 手机助手 dedecms phpcms  coremail 该列表会持续更新)

由于云端漏洞,譬如某单独站点漏洞,云端某服务漏洞厂商都可以很短时间内解决,也不会影响到其他用户和企业的安全,所以暂时不会进入乌云漏洞奖励计划,但是乌云会继续提升wb的价值

2 漏洞奖励的规则

高危漏洞:无条件限制直接获取目标核心数据或完全控制业务逻辑(如360浏览器远程代码执行,QQ客户端远程代码执行,Discuz!远程代码执行)

中危漏洞:一定条件下能够获取目标核心数据和完全控制业务逻辑(如需要交互的代码执行,一定条件下的SQL注射)

低危漏洞:非常苛刻条件下能够获取一些核心数据和控制一些业务逻辑或者能够获取目标非核心数据和控制部分非核心业务逻辑(如一般意义的xss漏洞)

我们认为任何安全问题均要考虑实际环境,相比于无需任何额外条件即可控制目标的漏洞产生的价值一定高于需要点击或者交互所产生的价值,除非得到实际的证明,否则漏洞将按照最低标准限定

3 漏洞奖励的金额

重点应用  高危  10000 RMB

重点应用  中危  2000 RMB

重点应用  低危  500 RMB

其他应用  高危  2000 RMB

其他应用  中危  500 RMB

其他应用   低危  0RMB

欢迎各位拍砖,目前也在积极的和安全公司沟通中,希望他们能够加入到乌云漏洞处理流程里来

谢谢!

  1. 1#

    /fd (Http://prompt.ml) | 2013-04-24 19:10

    其他应用   低危  0RMB …

  2. 2#

    马燕羊蝎子 | 2013-04-24 19:10

    乌云V5,非常不错!

  3. 3#

    疯狗 | 2013-04-24 19:12

    漏洞奖励而不是购买

  4. 4#

    0x0F (…………………………………………………………………………………………………………………………………………………………………………………………………………………………….) | 2013-04-24 19:14

    我爱乌云

  5. 5#

    心伤的胖子 (天凉好个球) | 2013-04-24 19:14

    马燕威武

  6. 6#

    冷静 (黑客大黑客超级黑客黑客王,这就是我的梦想。。。。。) | 2013-04-24 19:23

    RMB是由谁给的??

  7. 7#

    冷静 (黑客大黑客超级黑客黑客王,这就是我的梦想。。。。。) | 2013-04-24 19:23

    谁掏的腰包

  8. 8#

    p.z | 2013-04-24 19:24

    下血本了啊

  9. 9#

    abcdlzy | 2013-04-24 19:25

    @冷静 +1,同样有这个好奇心

  10. 10#

    se55i0n (那些年,我们一起看的岛国动作片~) | 2013-04-24 19:35

    V587

  11. 11#

    redrain有节操 (快来和我滚床单) | 2013-04-24 19:40

    谁掏腰包~

  12. 12#

    shine | 2013-04-24 19:41

    愿你血本有归!

  13. 13#

    Finger | 2013-04-24 19:57

    支持

  14. 14#

    Yaseng (看黄片 到 www.yaseng.org) | 2013-04-24 20:00

    哈哈  no more free bugs

  15. 15#

    Seraph (不悔梦归处,只恨太匆匆) | 2013-04-24 20:05

    前来支持

  16. 16#

    cnyouker | 2013-04-24 20:05

    顶!

  17. 17#

    txcbg | 2013-04-24 20:06

    v5

  18. 18#

    wefgod (求大牛指点) | 2013-04-24 20:44

    比数字哥给力哦

  19. 19#

    ppt (小伙子,你0day掉了) | 2013-04-24 21:13

  20. 20#

    Deep (迎接高中。。。) | 2013-04-24 21:33

    @冷静 +1

  21. 21#

    无敌L.t.H (‮……天百一爱恋考高:簿相色白产国) | 2013-04-24 21:59

    明显在炒0day啊

  22. 22#

    xsser | 2013-04-24 22:41

    @abcdlzy @Deep 争取让第三方安全公司来掏钱

  23. 23#

    齐迹 (sec.zbj.com 欢迎来撸) | 2013-04-24 22:43

    用的谁的钱?

  24. 24#

    wefgod (求大牛指点) | 2013-04-24 22:57

    @xsser 哇!

  25. 25#

    abcdlzy | 2013-04-24 23:03

    @xsser 哇!v587

  26. 26#

    fuck360 (路人黑) | 2013-04-24 23:29

    QQ远程静默溢出搞起

  27. 27#

    慕林 | 2013-04-25 08:50

    通过奖励方式招安~~~, 顶

  28. 28#

    情深 (ส็็็็็็็็็็็็็็็็็็็็็็็็็) | 2013-04-25 09:22

    这个是个涉及安全厂商、软件厂商、安全从业人员多方面,关系到多方利益,不过最终受益的还是用户或者站长。要是搞好了,估计就是行业标准了。不过这个高危的1w,像web应用之类的修复成本很低的,那这个修复成本之外的钱谁出呢

  29. 29#

    Chu (学习ing。) | 2013-04-25 10:18

    话说,这个什么时候实施呢

  30. 30#

    xsser | 2013-04-25 10:20

    @Chu 先准备好子弹吧,这部分奖励我们会去和愿意参与此计划的安全公司协商,OK了就可以开始实施了,大家现在先看看是否有什么问题

  31. 31#

    px1624 (aaaaaaaaa) | 2013-04-25 10:25

    额,貌似只有一些特定的额。。

  32. 32#

    墨水心_Len | 2013-04-26 11:37

    越来越”狠”了啊

  33. 33#

    二哥三摆手 | 2013-04-26 21:34

    好好学习,天天向上!!

  34. 34#

    啦绯哥 | 2013-04-27 10:02

    @xsser 看到这篇文章,我决定把手里的洞洞拿出来了

  35. 35#

    风萧萧 | 2013-04-29 14:05

    什么时候开始实施?后门怎么算?

  36. 36#

    Matt | 2013-04-29 14:41

  37. 37#

    法海 | 2013-04-29 14:54

    好事情

  38. 38#

    毕月乌 (I am Jia Ma.) | 2013-04-30 18:47

    突然觉得我的洞发早了~

  39. 39#

    神倦懒言 | 2013-04-30 19:21

    厂商会积极主动的把漏洞评判为 高危  么?

  40. 40#

    erevus | 2013-04-30 19:28

    厂商不肯给钱怎么办?像360 判个忽略然后私信说 私下给我发

  41. 41#

    黄小昏 | 2013-04-30 21:28

    又是迈出了一个好的开始~~厂商后期修复是怎么算钱的

  42. 42#

    xsser | 2013-05-04 14:24

    @erevus @黄小昏 注意哦,只针对通用性程序的

  43. 43#

    xsser | 2013-05-04 14:25

    @神倦懒言 厂商的评判是一回事,但是还是要严格结合规则来定义吧

  44. 44#

    pangshenjie (whoami) | 2013-05-04 16:10

    @xsser 争取。。。。现在是你自掏腰包么

  45. 45#

    xsser | 2013-05-04 16:14

    @pangshenjie 不是,在找安全公司赞助的