蚂蚁集团IoT漏洞评估标准规章制度
蚂蚁集团非常重视自身产品和业务的安全问题,我们深知,挖掘漏洞需要付出宝贵的时间和精力,我们承诺,对每一位报告者反馈的问题都有专人进行跟进和处理,并及时给予答复。同时,对于帮助蚂蚁集团提升安全质量的用户,我们将给予您感谢和回馈。
致谢:所有对这个标准给出建议的帽子
如果您对本流程有任何的建议,欢迎发送邮件至antsrc@service.alipay.com向我们反馈。建议一经采纳,AntSRC 会送出专属定制礼品。
评分标准
蚂蚁金币 = 基础蚂蚁金币 * 应用系数
基础蚂蚁金币:
严重300-1000金币、高危漏洞160-300金币、中危漏洞40-160金币、低危漏洞10-40 金币(1金币∽10元)
应用系数:核心业务5、非核心业务1
严重 | 高危 | 中危 | 低危 | |
核心应用 | 1500-5000 | 800-1500 | 200-800 | 50-200 |
非核心应用 | 300-1000 | 160-300 | 40-160 | 10-40 |
核心业务
如蜻蜓系列支付设备、如意lite支付设备、可穿戴IoT设备中集成的支付宝应用等。
严重
无条件远程获取root用户权限并执行任意代码、命令,包括但不限于远程控制设备。
在未授权状态下远程访问受保护的数据(如用户人脸图像、口令)导致的核心敏感数据大批量泄露。
可造成大批量用户经济损失的逻辑漏洞。
高危
有条件的获取root权限并执行远程代码、命令,包括但不限于设备有特殊配置、需授权、需交互、限制局域网等。
利用本地漏洞突破敏感数据保护机制获取敏感数据(如TEE中的数据)。
在未授权状态下远程发起永久性拒绝服务攻击导致设备无法使用,或者需要重新刷写整个系统才可恢复。
无需用户交互的重点业务漏洞。
核心业务的逻辑漏洞,能够有限获取利益,对公司、用户造成巨大损失。
中危
有条件限制的拒绝服务攻击,包括但不限于局域网内、需要交互临时性攻击等。
在未授权状态下远程访问不受保护的数据,在一定条件下对用户造成危害。
非重要功能的越权、逻辑漏洞,包括但不限于本地获取用户权限、限制条件等。
需要较苛刻环境下才能触发的危害较高的漏洞。
低危
发起暂时性拒绝服务攻击导致系统挂起或设备重新启动,影响系统可用性。
不安全配置导致的或特殊条件下的信息泄露漏洞、利用难度大的漏洞。
低风险业务安全漏洞。
评分标准通用原则
1. 评分标准仅适用于可威胁到蚂蚁集团IoT产品的漏洞。
2. 对于非蚂蚁集团自身的产品和业务,如蚂蚁集团的投资公司、合作公司按照非核心应用IoT漏洞评估标准来定级和给分,且不保证能按照预定时间处理。
3. 第三方IoT设备(集成蚂蚁集团应用,如支付宝)中的root漏洞不属于AntSRC的接收范围,如符合威胁情报评估标准(规模化利用,重大0day漏洞等),可依据威胁情报标准给予奖励。
4. 同一个漏洞源产生的多个漏洞只计其一,且多个重复漏洞,只确认第一个漏洞。
5. 报告网上已公开的漏洞不计分;且在漏洞未修复之前,泄露漏洞细节也不计分;已给分漏洞如有泄露,AntSRC有权收回奖励。
6. 以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,将不计分,同时蚂蚁集团保留采取进一步法律行动的权利。
7. 本标准未覆盖的漏洞类型,按照AntSRC漏洞评估标准来评定。
-
蚂蚁集团威胁情报评估标准
蚂蚁集团非常重视自身产品和业务的安全问题,我们深知,挖掘漏洞需要付出宝贵的时间和精力,我们承诺,对每一位报告者反馈的问题都有专人进行跟进和处理,并及时给予答复。同时,对于帮助蚂蚁集团提升安全质量的用户
-
蚂蚁集团漏洞评估标准
蚂蚁集团非常重视自身产品和业务的安全问题,我们深知,挖掘漏洞需要付出宝贵的时间和精力。我 们承诺,对每一位报告者反馈的问题都有专人进行跟进和处理,并及时给予答复。同时,对于帮助蚂蚁集团提升安全质量的用
-
蚂蚁集团漏洞奖励标准
蚂蚁集团非常重视自身产品和业务的安全问题,我们深知,挖掘漏洞,情报需要付出宝贵的时间和精力。对于帮助蚂蚁集团提升安全质量的用户,我们将给予您感谢和回馈。物质奖励常规奖励:奖品使用蚂蚁金币(AntSRC
一对一解决您的法律问题,
已提供49958次咨询
- 张纪中称将倾尽一切守护家06-06
- 亲子鉴定要多少钱的费用06-03
- 离婚手续办理流程有什么06-03
- 离婚起诉立案后的流程怎么走06-03
- 离婚二个人都同意离婚当天就给证吗06-03
- 二个人都同意离婚当天就给证吗06-03
- 律师回应女子为4只宠物狗立遗嘱 专款专用引发热议06-03
- 哪里可以咨询婚姻问题?06-03
- 哪里可以咨询关于婚姻的问题?06-03
- 民政局怎么咨询婚姻问题?06-03
- 郑中基与余思敏终离婚?现身法庭闭门聆讯,身形暴瘦五字回应04-20
- 检察机关披露:万某某拐卖46名外籍女子入境,贩卖获利133万元04-17