测试范围:

  • 阿里云自己业务的所有线上系统(一些aliyun.com的子域名,不是阿里云的业务,需要提交到ASRC),但不包括阿里云上客户自己的系统。

测试时间:

  • 长期

评估标准:

a) 严重危害验收标准:

  1. 核心服务器的系统权限。
  2. 获取到核心数据库的权限(查询数据)。
  3. 可控制云计算的调度系统,对阿里云上租户的资源进行调度管理。
  4. 严重的越权漏洞,如:可从租户的虚拟机越权到宿主机;或越权获取其他租户的数据。
  5. 可批量获取阿里云上客户的数据,如ECS快照、租户的RDS数据以及其他数据类产品的数据。

b) 高危危害验收标准:

  1. 直接获取单个系统权限的漏洞(系统包括但是不限于非生产网系统、非共享区系统的权限)。包括但不仅限于远程命令执行、任意代码执行、上传获取Webshell、SQL注入获取系统权限。

  2. 重要的敏感信息泄漏。包括但不仅限于重要业务DB 的 SQL 注入、可获取大量企业核心业务数据等接口问题引起的敏感信息泄露。

  3. 严重的逻辑设计缺陷和流程缺陷。包括但不仅限于批量修改任意账号密码漏洞、涉及企业核心业务的逻辑漏洞等。
  4. 敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、重要后台弱密码、获取大量内网敏感信息的SSRF等。
  5. 企业重要业务越权敏感操作。包括但不仅限于账号越权修改重要信息、重要业务配置修改等较为重要的越权行为。
  6. 大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS(包括存储型DOM-XSS)。

c) 中危危害验收标准:

  1. 需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS,涉及核心业务的CSRF等。

  2. 普通越权操作。包括但不仅限于包括但不限于绕过限制修改用户资料、执行用户操作等。

  3. 拒绝服务漏洞。包括但不限于导致网站应用拒绝服务等造成影响的远程拒绝服务漏洞等。
  4. 由验证码逻辑导致任意账户登陆、任意密码找回等系统敏感操作可被爆破成功造成的漏洞。
  5. 本地保存的敏感认证密钥信息泄露,需能做出有效利用。
  6. 对核心业务服务器照成一定影响,但无法进行高危操作的漏洞。

d) 低危危害验收标准:

  1. 本地拒绝服务漏洞。包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),由Android组件权限暴露、普通应用权限引起的问题等。

  2. 普通信息泄露。包括但不限于web路径遍历、系统路径遍历、目录浏览等。

  3. 反射型XSS(包括DOM XSS / Flash XSS)
  4. 普通CSRF
  5. URL跳转漏洞
  6. 短信炸弹、邮件炸弹(每个系统只收一个此类型漏洞)
  7. 能对普通业务照成一定影响,但是无法进行高危操作。

奖金范围

  • 严重 5w-10w
  • 高危 2w
  • 中危 500-2000
  • 低危 50-200

备注:奖金会按月累加的总值,按照杭州劳务费税率进行交税。

活动规则

  • 提交漏洞到阿里云先知平台xianzhi.aliyun.com, 按如下格式, 提交到其他平台的,不在这次活动中。
  • 内部员工也可提交,奖励只有奖品哦 ^_^。

点击收藏 | 0 关注 | 1
登录 后跟帖