快看漫画漏洞奖励计划
为了加深与业界同行、安全专家以及热心用户的交流与合作,及时有效的保障广大用户利益安全,快看漫画希望借助外界力量,与广大白帽子携手一道为互联网行业做出贡献。同时也为了表达对各位的感谢,特别推出漏洞奖励计划。
一、原则和宗旨
1.1 我们欢迎、赞同和提倡业界同行有贡献精神的白帽子,对恪守白帽子精神的人员十分敬重。也希望广大白帽子遵循这一道德戒律,遵纪守法开展安全漏洞挖掘和威胁情报反馈,实现行业良性互动和发展共赢。
1.2 我们愿加强与白帽子、业界同行和热心用户合作,共同维护公司产品和业务安全,保障用户利益和企业商誉。
1.3 我们反对和谴责一切以漏洞挖掘为幌子,从事破坏、损害用户利益或信息系统等黑客行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞等。
1.4 对于以安全漏洞测试为名,从事入侵系统、盗取信息或数据、破坏或篡改我司信息系统的行为。将视为的非法入侵的黑客行为,将予以举报,并保留相关痕迹,进一步诉讼法律程序的权力。
1.5 快看公司非常重视自身产品和业务的安全问题,特建立快看漫画漏洞奖励计划。我们承诺,对每一位报告者反馈的安全漏洞和威胁情报都有专人进行跟进、分析和处理,并及时给予答复。对所有有利于快看公司有价值的漏洞信息和威胁情报,将给予奖励。
二、 漏洞处理
2.1 漏洞提交
快看公司已开通以下方式供大家提交漏洞或反馈威胁情报:
官方唯一网址:https://www.kuaikanmanhua.com/webs/securityBounty
漏洞提交邮箱:infosec@kkworld.com
注:在非快看公司公开的平台或渠道提交我司漏洞,将不适用此漏洞奖励计划。
① 目前快看公司官方平台支持邮箱方式提交漏洞,请在提交漏洞时预留好可联系的通讯方式。如手机号码等,以便于我们及时反馈信息给您。我们将严格保护个人信息,不与第三方分享用户信息,仅用于支持快看公司平台内部运营使用。
② 本快看公司平台仅接收和奖励快看公司旗下辖所有授权测试的业务平台(快看漫画等)、移动APP和终端产品的安全漏洞,不属于此范围之内的安全漏洞不在奖励计划之列。
③ 提交漏洞相关信息时请务必详尽,在漏洞未修复完成之前请勿在其它平台或渠道上提报、公开、传播和扩散。
④ 在快看公司平台上提交的漏洞详细情况不对外公开,仅对漏洞提交者可见。
⑤ 注意事项:
a. 报告与公司业务无关问题将不予答复。
b. 快看公司员工不得参与或通过其它变相方式参与漏洞奖励计划。
2.1.1 授权测试范围:
*.kkmh.com
*.kuaikanmanhua.com
快看漫画安卓APP
快看漫画苹果APP
本次漏洞奖励计划仅授权测试以上范围应用,本公司未授权范围未经允许,不得测试,谢谢理解!
2.2 漏洞处理
2.2.1 通用原则
2.2.1.1 同一漏洞最早提交者奖励现金,其他提交者均不再进行奖励。
2.2.1.2 通用型漏洞 如 WordPress、Discuz等开源程序、Flash 漏洞、第三方组件、开源中间件等的漏洞。第一个提交者获奖励,其他提交者均不再进行奖励。
2.2.1.3 由同一个漏洞源引起的多个漏洞只算做一个漏洞。如多个业务用到一个存在漏洞JS文件、框架以及模板导致的整站的安全漏洞。
2.2.1.4 漏洞报告者在复查漏洞时如果漏洞依旧存在,按新漏洞获再次奖励。
2.2.1.5 网上已经公开的以及在其他平台提交过的漏洞不作奖励。
2.2.1.6 白帽子不得违背道德精神,采用任何形式的社会工程学方法来获取快看公司的数据。否则因此造成损失的,快看公司将保留追究法律的权力。
2.2.1.7 所有评判标准的最终解释权归快看公司所有。
2.2.2 漏洞状态
漏洞状态通知方式将以邮箱回复为准。
2.2.3 漏洞反馈
为方便及时了解漏洞的情况,快看公司将通过预留联络方式及时通知漏洞提交人员。请在未收到已修复通知前不扩散、公开或传播漏洞,或利用安全漏洞从事非法活动。
三、 漏洞评估标准
漏洞评级分为五个等级:严重、高危、中危、低危、其他。
3.1 严重
3.1.1 严重的敏感信息泄露,包括但不限于可以获取重要数据的SQL注入漏洞(资金、身份、交易相关)、源代码泄露以及任意文件读取和下载漏洞(如包含重要服务口令),系统权限控制不严格等导致的敏感数据泄露漏洞,公司内部核心数据泄露等;
3.1.2 严重的逻辑设计缺陷和流程缺陷。包括但不限于任意账号登录、任意账号密码密保修改、帐密校验逻辑、核心接口数据验证逻辑、支付逻辑漏洞等,以任意人身份敏感操作等;
3.1.3 远程直接获取核心系统权限的漏洞(服务端和客户端),包括但不限于远程任意命令执行、远程代码执行、上传获取WebShell 、缓冲区溢出、SQL注入获取系统权限等;
3.1.4 直接获取基础架构系统权限包括但不限于:核心业务操作系统、核心业务数据库、防火墙等;
3.1.5 直接导致核心业务拒绝服务的漏洞。包括但不仅限于直接导致线上业务拒绝服务、可导致大量用户崩溃掉线等。(DDoS攻击等资源耗费型的拒绝服务除外)
3.2 高危
3.2.1 敏感信息泄漏。包括但不仅限于非核心DB SQL注入、源代码压缩包泄漏、可获取大量用户交易信息的接口、服务器、应用加密可逆或明文的敏感信息泄露;
3.2.2 越权访问,包括但不限于敏感信息修改、敏感信息读取、进行涉及钱财的操作、重要业务配置修改、获取大量内网敏感信息等;
3.2.3 大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS(包括存储型DOM-XSS)、涉及交易、资金、密码的CSRF;
3.2.4 涉及资金、订单和用户敏感信息的逻辑设计缺陷和业务流程缺陷;
3.2.5 弱口令。重要系统后台的弱口令;
3.2.6 SSRF类型漏洞可探测内网等;
3.2.7 属于严重级别中所描述的漏洞类型,但是产生在非核心系统中的漏洞;
3.2.8 本地代码执行漏洞,包括但不限于内存破坏、类型混淆、整数问题等导致的可利用本地代码执行漏洞
3.3 中危
3.3.1 需交互才能获取用户身份信息的漏洞。包括但不限于核心业务的存储型XSS 、反射型XSS、JSON劫持 、重要敏感操作的CSRF、URL跳转漏洞;
3.3.2 普通信息泄漏。包括但不仅限于客户端明文存储密码、客户端密码明文传输以及web路径遍历、系统路径遍历。非重要系统的普通代码泄露;
3.3.3 普通越权操作,包括但不仅限于不正确的直接对象引用,越权读取、越权篡改数据、越权访问非重要系统后台;
3.3.4 普通但有一定影响的逻辑设计缺陷和业务流程缺陷;
3.3.5 可导致资源滥用或造成对用户骚扰的漏洞,包括但不限于:短信炸弹、邮件炸弹等;
3.3.6 弱口令。普通系统后台的弱口令;
3.4 低危
3.4.1 客户端本地拒绝服务漏洞。包括但不仅限于组件权限导致的本地拒绝服务漏洞;
3.4.2 远程拒绝服务漏洞,包括但不限于攻击接口、页面、组件导致的拒绝服务等;
3.4.3 轻微信息泄露。包括但不限于路径信息泄露、phpinfo、异常信息泄露、无具体代码的svn/git信息泄露、以及客户端应用本地SQL注入(仅泄漏数据库名称、字段名、cache内容)、日志打印、配置信息、已脱敏的用户信息泄露等;
3.4.4 其他只能造成轻微影响的漏洞。反射型XSS(包括反射型DOM-XSS)、普通CSRF、URL跳转漏洞;
3.4.5 无限制短信接口,可存在暴力破解的接口
其他(无奖励)
3.5.1 无关安全的bug,包括但不限产品功能缺陷、页面乱码、样式混乱、无安全影响的本地拒绝服务、应用兼容性;
3.5.2 无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏、版本过低、401基础认证钓鱼、无敏感信息的JSON Hijacking、无意义的源码泄露、无敏感信息的logcat浏览器or第三方等无法修复的漏洞所致;
3.5.3 无法重现的漏洞、无任何证据的猜测;
3.5.4 和公司无关的安全漏洞
四、 奖励计划
4.1 漏洞奖励表
严重 | 高危 | 中危 | 低危 | |
现金奖励/人民币 | 3000-5000 | 1200-2400 | 300-900 | 40-200 |
4.2 奖金发放:
实际奖金 = 奖励总额 * (1 - 20%个人所得税)。
4.3 发放方式:
漏洞审核并确认等级后将通过邮箱预留联系方式联系提交者,若未预留任何联系方式的提交者将仅会以邮箱通知。
五、其他
5.1 奖励计划仅适用于通过快看公司公布的渠道报告漏洞的用户。
5.2 漏洞奖励计划最终解释权归快看公司所有。
5.3 如果对漏洞评定结果有异议的请发邮件至infosec@kkworld.com ,我们将第一时间进行处理。