联想集团入驻漏洞盒子,发起安全众测现金奖励

联想集团入驻漏洞盒子,发起安全众测现金奖励

        联想集团成立于1984年,是全球最大的PC厂商和著名高科技企业。

          本周,联想集团宣布与漏洞盒子平台达成安全及漏洞报告方面的合作,由漏洞盒子上的安全专家和白帽子帮助联想集团发现其业务线存在的安全问题,并通过现金奖励的方式进行回馈。联想鼓励全球安全研究人员通过漏洞盒子平台提交联想产品相关的安全问题。

 

在国外,诸如Facebook、Yahoo、微软等上百家知名企业都通过入驻第三方平台的方式与互联网上的安全研究人员合作,以开放的态度接收和响应各类产品安全漏洞。此次联想集团入驻漏洞盒子平台,看重的是漏洞盒子平台及兄弟产品FreeBuf.COM在互联网安全领域的影响力和安全研究人员方面的资源优势。

漏洞奖励计划

高危漏洞:现金奖励2000 - 4000元人民币  中危漏洞:现金奖励800 - 1600元人民币  低危漏洞:现金奖励100 - 200元人民币

漏洞定义规则

高危安全问题

直接获取业务服务器权限的漏洞。包括但不限于任意命令执 行、上传webshell、任意代码执行;直接导致严重的信息泄漏漏洞。包括但不限于核心DB的SQL注入漏洞;直接导致严重影响的逻辑漏洞。包括但不限 于任意帐号密码更改漏洞。能直接批量盗取用户身份信息的漏洞。包括但不限于SQL注入;越权访问。包括但不限于绕过认证访问后台。

 

中危安全问题

需交互才能获取用户身份信息的漏洞。包括但不限于存储型XSS漏洞;任意文操作漏洞。包括但不限于任意文件读、写、删除、下载等操作;越权访问。包括但不限于绕过限制修改用户资料、执行用户操作;比较严重的信息泄漏漏洞。包含敏感信息文件泄露(如DB连接密码);

 

低危安全问题

能够造成一定影响但无法直接获取设备权限和影响数据安全的漏洞,如:非重要信息泄露、反射型XSS漏洞(根据具业务重要程度评估)

出现其他不在细分类型里的问题会根据实际造成的危害来评估;

漏洞处理流程

          业务部门修复漏洞,修复时间根据问题的严重程度及修复难度而定,严重和高风险漏洞24小时内,中危风险三个工作日内,低危风险七个工作日内。部分漏洞受版本发布限制,修复时间根据实际情况确定。严重或重大影响漏洞会单独发布紧急安全公告。

漏洞提交

访问 https://www.vulbox.com/bounties/detail-130 申请参与项目,报告您所发现的安全漏洞,所有信息将第一时间与产品官方同步。

*本文作者:漏洞盒子&联想集团联合发布,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)

1 comment on “联想集团入驻漏洞盒子,发起安全众测现金奖励

  1. 绿莲花

    可以看到今年各个众测平台如雨后春笋般出现,从乌云众测、威客众测到漏洞盒子,汇集了国内的大量白帽子,也为很多企业输出了高质量的渗透测试成果,很多企业也从传统的安全服务项目开始越来越倾向于采取这种众测平台的方式来发现网络威胁,对传统安全行业来说或许需要进行一些改变了。

发表评论