支付宝安全应急响应中心-AFSRC

评估标准

荣誉排行

奖励标准

金币兑换

个人中心

首页

漏洞评估标准

蚂蚁金服非常重视自身产品和业务的安全问题,我们深知,挖掘漏洞需要付出宝贵的时间和精力。我们承诺,对每一位报告者反馈的问题都有专人进行跟进和处理,并及时给予答复。同时,对于帮助蚂蚁金服提升安全质量的用户,我们将给予您感谢和回馈。

致谢:所有对这个标准给出建议的帽子

如果您对本流程有任何的建议,欢迎发送邮件至security@alipay.com向我们反馈。建议一经采纳,AFSRC 会送出专属定制礼品。

评分标准

蚂蚁金币 = 基础蚂蚁金币 * 应用系数

基础蚂蚁金币:严重110-130金币、高危漏洞40-60金币、中危漏洞5-15金币、低危漏洞1-4金币
应用系数:核心应用10、一般应用4、边缘业务1

严重 高危 中危 低危 无影响
核心应用 1100-1300 400-600 50-150 10-40 0
一般应用 440-520 160-240 20-60 4-16 0
边缘业务 110-130 40-60 5-15 1-4 0

严重

1)直 接获取核心服务器权限漏洞,包括但不限于内存破坏、直接上传WEBSHELL、利用逻辑缺陷任意加载 远程代码等可利用的远程代码执行漏洞。
2)核心敏感数据信息泄露漏 洞,包括但不限于SQL注入、系统权限控制不严格等导致的敏感数据泄露漏洞。
3)核心业务的逻辑漏洞,包括但不限于帐密校验逻辑、核心接口数据验证逻辑、支付逻辑 漏洞等。
额外现金奖励10万~35万(人民币):
涉及可大批量 获取账密信息、控制用户权限等漏洞;
涉及可大批量获取用户敏感信息,如订单信息等 漏洞
涉及可获取重要服务器控制权限等漏洞。

高危

1) 直接获取普通服务器或客户端权限漏洞,包括但 不限于内存破坏、逻辑权限等可利用的远程代码执行漏洞。
2) 重要 敏感数据信息泄露漏洞,包括但不限于重要用户信息、订单信息、数据文件信息等。
3) 本地代码执行漏洞,包括但不限于内存破坏、类型混淆、整数问题等导致的可利 用本地代码执行漏洞。
4)不需交互导致的重点业务漏洞,包括但不限于存储XSS、文 件遍历、参数处理不当导致的远程拒绝服务漏洞。

中危

1) 需交互才能对用户产生危害的安全漏洞、包括但 不限于反射XSS、json劫持、CRLF、敏感操作的CSRF等。
2) 普通信息 泄露漏洞、包括但不限于非个人登陆后泄露的手机号、姓名、交易号等个人信息。
3) 远程拒绝服务漏洞,包括但不限于攻击接口、页面、组件导致的拒绝服务等。
4) 非核心业务的逻辑漏洞,包括但不限于组件导出、权限控制不当导致的 泄露问题、重定向漏洞等。

低危

1) 在特殊条件下才能获取用户信息的安全漏洞,包括但不限于特定浏览器下 的反射XSS、存储XSS。
2) 基本无影响的信息泄露漏洞,包 括但不限于服务器物理路径、phpinfo、边缘系统文件、本地日志等。
3) 本地拒绝服务漏洞,包括但不限于PC端、移动端本地组件、进程的拒绝服务。
4) 可能存在安全隐患但利用成本很高的漏洞,包括但不限于特殊情况下 的中间人攻击、需要用户连续交互的敏感安全漏洞。

无影响

1)安全无关的产品BUG,包括但不限于产品体 验或设计不好、非安全漏洞导致的服务无法访问等。
2)无法利用或无 危害的“漏洞”,包括但不限于恶作剧CSRF(对用户无实际影响)、无法影响他人的本地拒绝服务 、Self-XSS、非敏感信息泄露(内网IP、域名)等。
3)无任何证据的 猜测、包括但不限于支付宝付款不扣款、支付宝账户被盗等;非蚂蚁金服产品的安全漏洞。


提交流程

报告漏洞

请您详细填写漏洞相关信息并按本标准提交漏洞至security.alipay.com.请您务必对您提交的漏洞进行保密,不向任何第三方透露。如您泄露了漏洞,AFSRC将不会给您蚂蚁金币,已经支付的有权收回。(状态:确认中)

处理漏洞

漏洞提交后24小时内(法定节假日顺延),AFSRC会对收到的漏洞报告进行评估(状态:待确认/已确认/已驳回):
1、待确认:常规情况下,漏洞提交后24小时内(法定节假日顺延),AFSRC判断漏洞会否存在。
2、已确认:漏洞确认存在,我们正在积极修复漏洞, AFSRC会在漏洞确认后三个工作日内给予评分。请遵守《蚂蚁金服安全应急响应中心保密协议》。
3、已驳回:漏洞不存在或重复上报等,AFSRC将驳回漏洞,并告知驳回理由。
如有需要我们会联系您。


争议处理

在漏洞报告处理过程中,如果报告者对流程处理、漏洞定级、漏洞评分等有异议的,可以在提交记录页面通过“联系客服”及时沟通。AFSRC将按照漏洞报告者利益优先的原则处理,必要时可引入外部安全人士共同裁定。


注意事项

1、 恶意报告者将作封号处理
2、 报告无关问题的将不予答复
3、 蚂蚁金服集团和阿里巴巴集团员工不得参与或通过朋友参与漏洞奖励计划
4、 奖励计划仅适用于通过AFSRC报告漏洞的用户
5、 漏洞奖励计划最终解释权归AFSRC所有


评分标准通用原则

1、评分标准仅适用于蚂蚁金服集团产品和业务。与蚂蚁金服集团完 全无关的漏洞,均不计分。
2、对于非蚂蚁金服集团自身发布的产品和业务, 如蚂蚁金服集团的投资公司、合资公司、合作区业务,按照漏洞评估标准定级,按照威胁情报标准给分,且不保证能按照预定时间处理;
3、第三方产品的漏洞只给第一个报告者计分,等级不高于【中危】,且不保证修复时长,包括但不限于蚂蚁金服集团正在使用的WordPress、Flash插件以及Apache等服务端相关组件、 OpenSSL、第三方SDK等;不同版本的同一处漏洞视为相同漏洞。
4、同一个漏 洞源产生的多个漏洞计漏洞数量为一。例如 PHPwind 的安全漏洞、同一个 JS 引起 的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域 名解析产生的多个安全漏洞等。
5、各等级漏洞的最终蚂蚁金币数量由漏洞利 用难度及影响范围等综合因素决定,若漏洞触发条件非常苛刻,包括但不限于特定浏览器才可触发 的XSS漏洞,则可跨等级调整贡献值数量。
6、同一漏洞,首位报告者计贡献 值,其他报告者均不计。
7、在漏洞未修复之前,被公开的漏洞不计分。
8、报告网上已公开的漏洞不计分。
9、同一份报告中提交多个漏 洞,只按危害级别最高的漏洞计分。
10、以测试漏洞为借口,利用漏洞进行损 害用户利益、影响业务运作、盗取用户数据等行为的,将不计分,同时蚂蚁金服集团保留采取进一 步法律行动的权利。

邮箱 security@alipay.com 友情链接 阿里巴巴安全应急响应中心
支付宝版权所有 2004-2016 ICP证: 沪B2-20150087