奖励计划


乐信集团LXSRC漏洞奖励计划


为了加深与业界同行、安全专家以及热心用户的交流与合作,及时有效的保障广大用户利益安全,LXSRC希望借助外界力量,与广大白帽子携手一道为互联网金融行业做出贡献。同时也为了表达对各位的感谢,特别推出漏洞奖励计划。


一、 原则和宗旨


1.1 我们欢迎、赞同和提倡业界同行有贡献精神的白帽子,对恪守白帽子精神的人员十分敬重。也希望广大白帽子遵循这一道德戒律,遵纪守法开展安全漏洞挖掘和威胁情报反馈,实现行业良性互动和发展共赢。

1.2 我们愿加强与白帽子、业界同行和热心用户合作,共同维护公司产品和业务安全,保障用户利益和企业商誉。

1.3 我们反对和谴责一切以漏洞挖掘为幌子,从事破坏、损害用户利益或信息系统等黑客行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞等。

1.4 对于以安全漏洞测试为名,从事入侵系统、盗取信息或数据、破坏或篡改我司信息系统的行为。将视为的非法入侵的黑客行为,将予以举报,并保留相关痕迹,进一步诉讼法律程序的权力。

1.5 乐信集团非常重视自身产品和业务的安全问题,特搭建LXSRC安全应急响应平台。我们承诺,对每一位报告者反馈的安全漏洞和威胁情报都有专人进行跟进、分析和处理,并及时给予答复。对所有有利于乐信集团公司有价值的漏洞信息和威胁情报,将给予奖励。


二、 漏洞处理


2.1 漏洞提交


乐信集团已开通以下方式供大家提交漏洞或反馈威胁情报:

2.1.1   官方唯一网址:http://security.lexinfintech.com

2.1.2   微信公众号名称:乐信集团安全应急响应中心

2.1.3   QQ群号:538339034

注:在非乐信集团公开的平台或渠道提交我司漏洞,将不适用此漏洞奖励计划。

① 目前LXSRC官方平台支持QQ、微信和微博三种登录官网方式提交漏洞,请在提交漏洞前预留好可联系的通讯方式。如手机号码、邮箱地址等,以便于我们及时反馈信息给您。我们将严格保护个人信息,不与第三方分享用户信息,仅用于支持LXSRC平台内部运营使用。

② 本LXSRC平台仅接收和奖励乐信集团旗下辖所有业务平台(乐信集团、提钱乐、桔子理财、鼎盛资产等)、移动APP和终端产品的安全漏洞,不属于此范围之内的安全漏洞不在奖励计划之列。

③ 提交漏洞相关信息时请务必详尽,在漏洞未修复完成之前请勿在其它平台或渠道上提报、公开、传播和扩散。

④ 在LXSRC平台上提交的漏洞详细情况不对外公开,仅对漏洞提交者可见。

⑤ 注意事项:

a. 恶意报告者将作封号处理。

b. 报告与公司业务无关问题将不予答复。

c. 乐信集团员工不得参与或通过其它变相方式参与漏洞奖励计划。


2.2 漏洞处理


2.2.1 通用原则


2.2.1.1   同一漏洞最早提交者奖励积分和帀,其他提交者均不再进行奖励。

2.2.1.2   通用型漏洞 如 WordPressDiscuz等开源程序、Flash 漏洞、第三方组件、开源中间件等的漏洞。第一个提交者获奖励,其他提交者均不再进行奖励。

2.2.1.3   由同一个漏洞源引起的多个漏洞只算做一个漏洞。如多个业务用到一个存在漏洞JS文件、框架以及模板导致的整站的安全漏洞。

2.2.1.4   漏洞报告者在复查漏洞时如果漏洞依旧存在,按新漏洞获再次奖励。

2.2.1.5   网上已经公开的以及在其他平台提交过的漏洞不作奖励。

2.2.1.6   白帽子不得违背道德精神,采用任何形式的社会工程学方法来获取乐信集团的数据。否则因此造成损失的,乐信集团将保留追究法律的权力。

2.2.1.7   所有评判标准的最终解释权归LXSRC所有。


2.2.2 漏洞状态


LXSRC平台漏洞状态共分为七种:即已驳回、已提交、待补充资料、已评估确认、漏洞修复中、已修复完成和已关闭。

2.2.2.1 已驳回漏洞不存在或重复上报等,LXSRC运营人员将驳回漏洞,并告知驳回理由,可在漏洞历史中查看备注详细信息,同时会以尽可能的方式通知提交漏洞人员此信息。

2.2.2.2 已提交漏洞此状态为漏洞提交者成功提交漏洞的初始化状态。

2.2.2.3 待补充资料 所提交的漏洞描述不清,或内部安全人员评估确认过程中复现漏洞存在困难的情形。请漏洞报告者在72小时内补充漏洞详细信息便于我们评估确认,超过72小时未补充系统将予以驳回。

2.2.2.4 已评估确认:LXSRC内部安全人员对所提交的漏洞进行复现确证安全漏洞存在,且真实有效,并开始处理漏洞。

2.2.2.5 漏洞修复中漏洞确认存在,我们已制订修复计划,正在实施修复过程中,将置于这样的漏洞修复状态。LXSRC会在漏洞确认后3个工作日内给予评分和奖励,会以尽可能的方式通知提交漏洞人员,提交漏洞人员也可登录LXSRC平台查看详情。

2.2.2.6 已修复完成:漏洞修复计划已实施完成,经内部人员复测确认漏洞不存在,且已在生产环境中实施完成。

2.2.2.7 已关闭:已修复的漏洞需要报告者在15天内复查后进行关闭,漏洞状态变更为“已关闭”。如果白帽子复查后发现漏洞并未真实修复,可以重新提交漏洞(原漏洞请不作处理等待15天后的自动关闭),按新漏洞流程处理。

2.2.2.8 详细各阶段状态见图一


漏洞通知方式将以平台登录时预留的通讯方式为准,请在个人中心及时完善个人资料,以免因通讯不畅贻误沟通。


2.2.3 漏洞反馈


为方便及时了解漏洞的情况,LXSRC平台将通过个人中心预留联络方式及时通知漏洞提交人员。请在未收到已修复通知前勿不扩散、公开或传播漏洞,或利用安全漏洞从事非法活动。


三、 漏洞评估标准


漏洞评级分为四个等级:严重、高危、中危、低危。


3.1 严重


3.1.1直接获取业务服务器权限的漏洞。包括但不限于任意命令执 行、上传webshell、任意代码执行;

3.1.2 直接导致大量敏感信息泄漏的漏洞。包括但不限于大量核心源代码的泄露,大量核心业务数据的泄露,大量用户敏感身份信息的泄露;

3.1.3 能直接批量盗取用户账户的逻辑漏洞。包括但不限于任意用户密码重置漏洞;

3.1.4 重要DB的SQL注入漏洞


3.2 高危


3.2.1 涉及金钱的逻辑漏洞。包括但不限于超低价购买商品(需最终成功支付);

3.2.2 支付逻辑缺陷。包括但不限于突破预期订单服务期限;

3.2.3 高风险的信息泄漏漏洞。泄露的数据至少包含三种敏感字段,如姓名、手机号、家庭住址、身份证号等;

3.2.4 敏感操作的越权漏洞。包括但不限于绕过认证访问后台,越权获取管理员的权限;

3.2.5 直接获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出、远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行漏洞。

3.2.6 无需交互获取敏感信息或者执行敏感操作的XSS 漏洞。


3.3 中危


3.2.1 需交互才能获取用户身份信息的漏洞。包括但不限于存储型XSS漏洞。

3.3.2 任意文件操作漏洞。包括但不限于任意文件读、写、删除、下载等操作。

3.3.3 越权访问。包括但不限于绕过限制修改用户资料、执行用户操作。

3.3.4 比较严重的信息泄漏漏洞。包含敏感信息文件泄露(如DB连接密码)。


3.4低危


3.4.1普通逻辑漏洞。包括但不限于提交操作无限制导致数据库被爆漏洞。

3.4.2需交互才能获取用户身份信息并且有一定利用难度的漏洞。包括但不限于反射型XSS

3.4.3 难以利用但又可能存在安全隐患的问题。包括但不限于可能引起传播和利用的 Self-XSS、非重要的敏感操作 CSRF 以及需借助中间人攻击的远程代码执行漏洞并提供了有效 PoC


四、 奖励计划


4.1 LXSRC平台奖励分为二种形式。即积分和帀奖励,两者均可累计。此积分不递减不清零。帀为是种虚拟货帀,此数值是可递增也可递减。

4.2 乐帀可以在LXSRC礼品兑换商品, 乐币仅限于兑换LXSRC官网礼品兑换中的礼品。

4.3 奖励的积分和帀数量参照漏洞评估标准进行奖励。

4.4 乐币可累加使用,除非特别声明,未使用的乐币不会过期。

4.5 每月1日统计上月兑换的礼品,月中旬寄送。若为礼品,则需要填写可邮寄的详细信息,如因报告者未能完善资料导致的延误,将顺延至下个月中旬寄出;如因兑换者过失、快递公司问题及人力不可抗拒因素产生的礼品丢失或者损坏,LXSRC不承担责任。

4.6 奖励积分将用于评估荣誉等级用(具体荣誉等级章节),参加月度排行榜、年度排行榜和总排行榜。以上排行获得前3名的均可获当月,当年度,或总排行榜额外奖励。

4.7 每年度根据发现漏洞的等级累计数量进行排名,获得额外的奖励。

4.8 现金兑换有二种方式:

1)提供等值可用于公司财务记帐之用,且符合国家财务监管单位要求的真实发票。

2)如不能提供合格的发票,则按所兑换乐币总额的10%中扣税款。

4.9 漏洞奖励计算

奖励计算公式(奖励积分和帀相同):

奖励 = 漏洞价值基数 * 漏洞对资产CIA影响赋值之和(3-15) * 漏洞可被利用系数(0.05-1

[注:C=机密性,I=完整性,A=可用性]

奖励的积分和帀将参照以上公式得出,下表为非活动期间奖励最高值:

等级业务

严重

高危

中危

低危

核心应用

4515-6000

1500-3000

975-1125

150-750

一般应用

1500-3000

1215-1500

615-1050

120-600

边缘应用

1200-1350

750-1200

465-750

75-450

非常有价值漏洞或威胁情报额外加1-10万元人民帀现金奖励


说明:最终奖励数值可能跟上表中的漏洞等级区间数值不一致。如严重核心漏洞最终评估出来奖励数值落在高危数值区间,这是正常的,因为最终奖励数值受以下因素影响:

a. 因活动期间将有翻倍奖励,实际可能高于上述表格区间的数值;

b. 提交漏洞对资产的机密性、完整性和可用性影响程度不同,则奖励不同,CIA之和区间数值是315

c. 所提交的漏洞可被利用系数不同,计算出来的数值也不同,其数值区间为0.051

4.10 可利用系数表:

可被利用系数

特征描述

1.0

有现成可用的攻击工具与详细的攻击步骤。

0.8

有定制可用的攻击工具与详细的攻击步骤。

0.6

无现成攻击工具,但有较详细的攻击步骤。

0.5

有公开的报告且粗略描述攻击方法。

0.2

有公开的报告并未提及可能的攻击方法。

0.1

有公开的报告但未给出攻击方法。

0.05

攻击仅存在理论上的可能,未公开弱点攻击方法。


五、 荣誉等级


LXSRC平台对漏洞提交者的积分分值颁发荣誉称号,荣誉称号共分为三个级别:即安全研究员、安全专家、资深安全专家。荣誉称号评定参照截止目前在此平台上所获累计积分系统自动判定。

5.1 安全研究员:所获积分累计0-50000分以下。

5.2 安全专家:所获积分累计50000分以上,150000分以下。

5.3 资深安全专家:所获积分累计150000分以上。


六、 其它


6.1 奖励计划仅适用于通过LXSRC公布的渠道报告漏洞的用户。

6.2 漏洞奖励计划最终解释权归LXSRC所有。

回到顶部