返回公告主页

我们希望能够借助集体的力量提升我们的安全水平 

ASRC新春活动第二波来袭

公告编号:ASRC-2016-1

公告来源:阿里巴巴集团安全应急响应中心

公告日期:2016-1-5

公告内容:



新年大吉,ASRC新春活动第一波开启后小伙伴们踊跃兑换,目前已兑换了100多套礼物,还没兑换的小伙伴抓紧哦!


新春活动系列陆续发出,第二波盛装来袭啦!

活动期间提交指定站点高质量威胁情报高危和严重漏洞所获得的安全币翻倍!严重漏洞单个不算额外奖励最高可达12000元现金

 

详情细说:2016.1.5 - 2016. 1.31的时间段内提交以下站点:(不包括移动端、pc客户端)

*.aliyun.com  和   *.www.net.cn(注意不是*.net.cn)以下问题安全币奖励翻倍!


威胁情报类:

1针对核心业务系统、办公网络的入侵情报。如核心生产服务器的入侵、核心数据库的拖库等;

2重大0Day漏洞。如云产品的漏洞(包括但不局限RDS,ECS等);

3对核心业务造成重大影响的威胁组织活动情报。

4大规模核心敏感信息泄露。如用户身份信息、订单信息等。


安全漏洞类:

严重,本等级包括:

1直接获取核心系统权限的漏洞(服务器权限)。包括但不仅限于远程命令执行、任意代码执行、上传获取WebshellSQL注入获取系统权限、缓冲区溢出。

2直接导致业务拒绝服务的漏洞。包括但不仅限于直接导致网站应用拒绝服务等造成严重影响的远程拒绝服务漏洞。

3严重的敏感信息泄漏。包括但不仅限于核心 DB(资金、身份、交易相关)SQL 注入,可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露。

4严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。

高危,本等级包括:

1敏感信息泄漏。包括但不仅限于非核心DB SQL注入、源代码压缩包泄漏、服务器应用加密可逆或明文。

2敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息的SSRF。

3越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改等较为重要的越权行为。



阿里云对外开放的产品相关漏洞,包括弹性计算产品、数据库产品、存储和CDN产品等(具体产品列表可参考http://www.aliyun.com的云产品标签目录,如上图所示)相关问题会给予重点奖励,漏洞级别酌情提升,奖励更容易翻倍


注意事项(重要):

1、不能利用漏洞获取系统相关的数据。包含但不局限系统的敏感文件、应用配置、数据库内容、租户的数据等。

2、不能造成系统宕机和服务异常,如造成影响要及时通知到ASRC恢复处理。

3、不能采用DDOS方式造成服务不可用。

4、利用漏洞获取到系统权限后,请不要继续进行渗透行为。后续行为监控发现异常入侵行为,ASRC有权追究法律责任。


奖金池充裕,小伙伴们加油!