返回公告主页

我们希望能够借助集体的力量提升我们的安全水平 

菜鸟业务漏洞/情报双倍活动开启!

公告编号:ASRC-2017-20

公告来源:阿里巴巴集团安全应急响应中心

公告日期:2017-6-21

公告内容:


 为了降低信息泄露的风险,为用户提供更安全的购物体验,ASRC针对菜鸟业务推出漏洞挖掘双倍奖励活动!


一、测试范围


1、web类

*.cainiao.com 等菜鸟域的应用

*.wuliu.taobao.com / *.i56.taobao.com 等淘宝域下物流相关应用

*.e56.1688.com / *.56.1688.com 等1688域下物流相关应用

guoguo-app.com 裹裹APP单独的站点

3w.tmall.com 等天猫物流相关应用

2、APP类

菜鸟裹裹(ios/android)

裹裹包裹侠(ios/android)

校园包裹侠(ios)

PS菜鸟旗下的相关客户端软件,以上各类服务依赖的基础设施,包括网络、服务器、数据库包括相关漏洞和情报均在此次收集范围之内。


二、测试时间


web类测试时间:  2017.6.21 18:00--2017.7.5 24:00(2周)

APP类测试时间:  2017.6.21 18:00--2017.7.12 24:00(3周)


三、活动奖励规则


中危以及以上漏洞/情报双倍奖励

单漏洞/情报常规奖励可达12000

如若活动中提交的漏洞/情报危害足够严重,还会有额外奖励。

额外现金奖励2万~10万(人民币):

Ø  涉及可大批量获取账号信息、控制用户权限等漏洞/情报;

Ø  涉及可大批量获取用户敏感信息等漏洞/情报;

Ø  涉及可获取重要服务器控制权限等漏洞/情报。


四、漏洞等级判定标准


1、高危级别CSRF漏洞等级判定不变中危、低危级别CSRF漏洞等级自动降一级。另外*.e56.1688.com、*.56.1688.com 两域名的CSRF漏洞不收。

2、其他漏洞类型等级判定标准不变。


五、注意事项

1、白帽子在ASRC平台提交漏洞/情报时,漏洞标题统一格式为"[菜鸟众测]-漏洞/情报名称",如[菜鸟众测]-菜鸟某处越权漏洞。格式不对的漏洞/情报视为不参与活动,不享受活动奖励。

2、同一系统中同一类型的漏洞确认不超过3个,如全站存在通用越权、XSS、CSRF等。

3、禁止利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,同时阿里巴巴集团保留采取进一步法律行动的权利。

4、具体注意事项、奖励方案请参考《漏洞评分标准V3.0》、《阿里巴巴集团威胁情报定级标准V2.0》。