江苏龙网

  1. 首页 > 生活 > >

乌云为啥厂商确认给的rank和乌云系统发到手的不一样

乌云漏洞审核机制改进公告 时间:2013-07-09 10:39 作者:WooYun零、漏洞不会通过的原因: 1)无耻抄袭/转载 2)缺乏数据影响证明 3)胡言乱语不知所云 4)虚假不实漏洞 5)漏洞重复 6)厂商确实太小太小了(无人维护)7)超出了我们所有人控制范围内的,比如核弹发射系统... 一、漏洞处理方案: 1,正常流程大家熟知也是乌云默认的流程,可以对互联网企业以及用户敏感数据造成大面积影响的安全报告,或可以沉淀一些安全知识内容的报告信息,都进行此类安全通报与rank计算流程。但如漏洞未能证明能影响到数据(如URL跳转、xss只弹窗的、盲注没数据等),这样的漏洞会走“小漏洞处理流程”通知厂商,前台不可见,但可通过URL方式直接访问,同样漏洞也采取“小漏洞处理流程”的奖励机制(正常rank、乌云币的1/5)2,通用型漏洞流程(漏洞前台可见,特殊披露机制,现金奖励) 详见:漏洞奖励 | WooYun.org3,小漏洞处理流程(漏洞前台不可见) 意为互联网企业、政府机构、学校以及草根网站等组织,漏洞影响有局限性,可批量量产(纯工具化产生),而且极度缺乏安全意识与漏洞修复积极性、能力的对象。 这种漏洞对于白帽来说缺乏知识沉积(URL跳转,反射xss等),对于厂商来说影响与改良意义较小,所以此类漏洞走“小漏洞处理流程”,前台不可见,此类漏洞采取“小漏洞处理流程”的奖励机制(正常rank、乌云币的1/5)。 如"小漏洞"如能有体现出一些不错思路与过程,可沉淀下安全技巧与信息点帮到其他白帽子学习,这样的漏洞会被升级为正常漏洞流程,并且享有正常漏洞的奖励机制。 二、漏洞类型: 1,普通互联网厂商(厂商列表中的对象) 确认对象:漏洞所属厂商 披露流程:前台可见,细节正常披露 奖励:正常rank/乌云币奖励,加精双倍 2,政府/社会基础/电信运营商类 确认对象:国家互联网应急中心(cncert),广东省信息安全评测中心 披露流程:前台可见,细节正常披露 奖励:正常rank/乌云币奖励,加精双倍 3,通用型程序类 确认对象:漏洞所属厂商,国家互联网应急中心(cncert) 披露流程:前台可见,第三方披露流程 奖励:正常rank/乌云币奖励,加精双倍,并根据高中低危害进行现金奖励。4,小厂商/地区政府/地方门户/学校 确认对象:漏洞所属厂商 披露流程:前台隐藏,视漏洞细节选择性公开 奖励:正常rank奖励的1/5(高危:4,中危:2,低危:1),乌云币奖励的1/5(高危:4,中危:2,低危:1),加精翻倍 5,中科院/科研机构等 确认对象:中国科技网,国家互联网应急中心(cncert) 披露流程:前台公开,细节正常披露 奖励:正常rank/乌云币奖励,加精翻倍 三、漏洞披露流程: 普通漏洞: 1,5天厂商确认周期(5天内未确认视为忽略,直接公开); 2,10天后向核心及相关领域专家公开; 3,20天后向普通白帽子公开; 4,30天后向实习白帽子公开; 5,45天后向公众公开; 6,期间厂商可自行提前公开,向普通白帽公开的时候可以使用乌云币购买提前查看漏洞细节。 通用型漏洞: 1,5天厂商确认周期(5天内未确认视为忽略,但不公开,直接进入2); 2,确认3天后对安全合作伙伴公开 3,10天后向核心及相关领域专家公开; 4,20天后向普通白帽子公开; 5,40天后向实习白帽子公开; 6,90天后向公众公开; 7,90天内都不支持付乌云币提前查看漏洞。
传送门:
WooYun.org | 自由平等开放的漏洞报告平台
另外,精华(闪电)是双倍。
【乌云为啥厂商确认给的rank和乌云系统发到手的不一样】 厂商分级也是为了提升rank的价值。 :)

■网友
因为你提交的漏洞不足以显示在乌云首页上(太low),只显示在你自己的“我提交的漏洞”中。你通过这样的漏洞所获得的rank值与厂商评价中的rank值毫不相干。只取决于厂商所给出的危害评级:高 - 4rank中 - 2rank低 - 1rank。同时,你从每个漏洞中得到的乌云币与你所从该漏洞获得的rank值是完全相同的。


推荐阅读


上一篇:烧饼一箩筐|十万价格,大空间,这辆车颜值非常高有还有女王副驾

下一篇:360新任命COO后会有啥样的变化