Программа вознаграждения за уязвимости

Подача отчета

Если вы считаете, что нашли любую уязвимость безопасности (техническую) в программе, мы рады принять ваш отчет о уязвимости через https://security.alibaba.com.

При подаче отчета о любой уязвимости безопасности, обратите внимание, что вам следует предоставить следующие данные (валидный отчет):

• Git-адрес программы и версию выполнения
• Детальное описание с необходимыми скриншотами
• Шаги воспроизведения уязвимости и ваши рекомендации по её исправлению
• Другие полезные данные

Обработка

Центр реагирования на безопасность Alibaba (ASRC) будет как можно скорее проверять и отвечать на вашу заявку, а также информировать вас о ходе работы над исправлением уязвимости, которую вы представили. В случае необходимости мы можем связаться с вами для получения дополнительной информации.

Условия и положения

1. Принимаются только технические уязвимости и оцениваются.
2. По причинам безопасности, заявители соглашаются сотрудничать исключительно с ASRC по представленной ими уязвимости и не раскрывать никакой информации об уязвимости третьим сторонам.
3. В случае если несколько человек сообщают о одной и той же уязвимости безопасности, награда будет присуждена первому лицу, который представил валидный отчет.
4. Для защиты пользователей программы, просим не отправлять запросы на GitHub или обсуждать любую информацию о уязвимости с сообществом до момента её устранения.
5. Все награды и баллы репутации предоставляются заявителям, которые представляют свои уязвимости безопасности исключительно ASRC.
6. Все права на награды за уязвимости безопасности остаются за ASRC.

Область сбора данных

Основные категории уязвимостей, которые мы активно собираем, включают:

• Запросы сервера стороннего типа (SSRF)
• Инъекция SQL
• Атаки отказа в обслуживании
• Выполнение удаленного кода (RCE)
• Атаки внешних сущностей XML (XXE)
• Проблемы контроля доступа (необходимость небезопасного прямого объекта, и т.д.)
• Проблемы обхода каталогов
• Раскрытие локального файла (LFD)
• Утечка чувствительной информации (ключи, cookies, сессии и т.д.)

Награды

• 7000 юаней за каждую уязвимость, которая может вызвать серьёзные проблемы
• 700–5600 юаней за уязвимости, использование которых ограничено или требует специальных условий, таких как необходимость активного взаимодействия пользователя или административных прав
• Уязвимости, работающие только при определённых условиях, могут быть приняты, но без награды или полностью отклонены, например, уязвимость, которая работает только на определённой версии Linux

Отчеты, не попадающие в область сбора данных

• Уязвимости, затрагивающие пользователей устаревших браузеров или платформ
• Само-XSS
• Фиксация сессии
• Мошенничество контента
• Отсутствие меток cookies
• Предупреждения смешанного содержания
• Проблемы SSL/TLS
• Кликджекинг
• Уязвимости на основе Flash
• Отражённые атаки на скачивание файлов (RFD)
• Физические или социальные инженерные атаки
• Неудовлетворённые автоматическими инструментами или сканерами результаты
• Логины/выходы/неавторизованные/низко-воздействующие CSRF
• Атаки, требующие MITM или физического доступа к устройству пользователя
• Проблемы, связанные с сетевыми протоколами или отраслевыми стандартами
• Разглашение ошибочной информации, которое не может использоваться для прямых атак
• Отсутствие безопасных HTTP-заголовков, которые не приводят к уязвимости напрямую