抓住夏季的尾巴,LSRC隆重推出第一期联想安全众测活动!本期众测活动主要针对联想多款产品的客户端开展,力造更安全用户体验更佳的产品。LSRC在此诚邀各位安全专家对7款联想产品进行安全测试,积极参与本期众测活动。
本期众测活动将对每个确认的漏洞进行奖励,单个漏洞奖金最高可达3000元。另外,活动结束后将评选出TOP3优秀个人或团队,颁发LSRC专属定制奖杯和额外奖励。
【活动时间】
2016年8月15日—2016年9月15日
【产品目录】
8月15日9:00发布(lsrc.lenovo.com)
【奖励方案】
|
漏洞等级 |
奖励金额 |
|
高危 |
1525-3000元 |
|
中危 |
325-1500元 |
|
低危 |
150-300元 |
|
优秀团队/个人 |
额外奖励 |
|
第1名 |
10000元 |
|
第2名 |
7000元 |
|
第3名 |
5000元 |
本次众测活动为专项线上活动,为了更有针对性的获取有价值的漏洞,特采用如下专项漏洞评估标准。
【评估标准】
基本原则
1、此次测试只面向客户端,如遇URL存在漏洞,统一以LSRC常规漏洞进行评分(非众测计分方式)。
2、此次众测所得积分不计入当月常规漏洞排行。
3、对于同一漏洞,只奖励首个发现该问题的安全专家。
4、漏洞提交报告应尽量详尽,阐述漏洞原理,提供漏洞证据,提出修复建议。
5、各漏洞的最终审核情况由漏洞利用难易程度、危害大小及影响范围综合考虑决定。
客户端漏洞评分标准
根据漏洞的主要影响,我们将漏洞危害程度分为高、中、低、忽略四个等级。
【高危】
基础安全币:305-600 (奖金=安全币×5元),本等级包括但不限于:
1、直接获取权限的漏洞(客户端权限)。包括但不限于远程任意命令执行、可利用远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、可利用浏览器use after free 漏洞、可利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞。
2、直接导致严重影响的逻辑漏洞。包括但不限于伪造任意号码发送消息、伪造弹 TIPS 漏洞、任意帐号密码更改漏洞。
【中危】
基础安全币:65-300,(奖金=安全币×5元),本等级包括但不限于:
1、本地任意代码执行。包括但不限于本地可利用的堆栈溢出、UAF、double free、format string、本地提权以及客户端产品的远程 DoS 漏洞、其它逻辑问题导致的本地代码执行漏洞。
2、直接获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、浏览器 use after free 漏洞、远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行漏洞。
3、产品本地应用敏感信息泄露、内核拒绝服务漏洞、可获取敏感信息或者执行敏感操作的客户端产品的 XSS 漏洞。
4、普通信息泄漏漏洞。包括但不限于客户端明文存储密码、包含敏感信息。
【低危】
基础安全币:30-60,(奖金=安全币×5元),本等级包括但不限于:
1、客户端难以利用但又可能存在安全隐患的问题。
2、本地拒绝服务漏洞。包括但不限于组件权限导致的本地拒绝服务漏洞。
【忽略】
基础安全币:0,本等级包含但不限于:
1、不涉及安全问题的bug,包括但不仅限于产品功能缺陷、页面乱码、样式混乱。
2、不能重现的漏洞。
3、纯属用户猜测的问题。
4、不接受各类DLL劫持、源码反编译漏洞。
额外奖励
1、本次活动将评选出排名Top3的优秀个人或团队进行颁发由LSRC专属定制的荣誉奖杯以及额外奖励。
|
优秀团队/个人排名 |
奖励金额 |
|
第1名 |
10000元 |
|
第2名 |
7000元 |
|
第3名 |
5000元 |
2、优秀个人/团队具体评选要求:
a)总安全币达10000以上(约30个漏洞);
b)如果团队,要求至少人均含有一个高危漏洞;
c)若没有符合要求的漏洞提交者,则此奖项空缺;
争议解决办法
在漏洞处理过程中,如果报告者对处理流程.漏洞评定.漏洞评分等具有异议的,请通过邮件:lsrc@lenovo.com 并以邮件标题【联想众测漏洞处理异议】进行反馈,我们会有专门工作人员负责优先处理此类反馈。LSRC 将按照漏洞报告者利益优先的原则处理,必要时可引入外部安全人士共同裁定。
【参与原则】
凡注册LSRC的白帽子用户均可参加本期众测活动,所有参与LSRC众测活动的白帽子必须遵守众测活动安全规范及保密要求。
行为规范
LSRC白帽子常规漏洞行为规范,同时适用于本次众测活动:
验证漏洞存在及利用方法可行即可,在利用过程中一旦发现涉及到联想敏感信息泄露或稳定性相关的问题,须立即停止进一步利用,确保不对业务造成影响。具体规范包括但不限于:
1. 禁止进入内网,禁止内部网络使用扫描器等自动化工具。
2. 禁止高风险操作,例如:服务器提权操作等。
3. 禁止提交虚假、描述不清的漏洞。
4. 禁止对业务造成稳定性、可用性等受损。
5. 禁止对交易数据、用户信息等敏感信息进行下载/拖取,流量监控系统会对数据拖取行为进行记录报警。
6. 避免以社工方式渗透网络,聚焦分析业务的技术层面脆弱性。
7. 对漏洞证明中可能获取的少量的网络拓扑信息、应用代码、数据等需严格保密。
处罚措施
对于违反上述规定的白帽子,会根据具体情况进行处罚:封号3个月至永久,同时冻结奖金,极其严重者,直接清空奖金;
一旦满足处罚条件,当期所有漏洞忽略,漏洞将由联想自行处理:
1. 使用扫描器。
2. 对企业业务造成破坏。
3. 恶意刷漏洞数量。
4. 提交虚假漏洞。
5. 使用的测试方法有可能对联想的业务造成影响,如拒绝服务攻击等测试。
【特别说明】
本次活动最终解释权归联想所有,对于恶意违反上述规定的人员,联想会依据实际情况采取不同力度的处罚措施,对于严重入侵行为联想有权追究其法律责任。
发表评论
您还未登录,请先登录。
登录