飞天守护计划是9月2日至10月2日阿里云开启的安全漏洞奖励专项活动,邀请广大安全研究者反馈阿里云产品和业务中存在的安全漏洞。有效的漏洞提交不仅可以得到最高十万元的赏金奖励,高质量的漏洞还会获得最高五万元的额外奖励。
一、授权的测试范围有哪些?
针对阿里云的产品和业务提出的大多数漏洞都是本次守护计划收集的目标。下面是包含在测试范围的域名列表:
*.aliyun.com*.aliyun-inc.com*.yunos.com*.yunos-inc.com*.yunos.cn
需要特别注意的是,本次活动不包含归属于「阿里云」之外的阿里巴巴集团、蚂蚁金服的系统及应用。测试时请严格保证测试的域名在上述域名下,并且测试资产不属于阿里云租户。
下面列举了阿里云部分应用和业务的优先级,优先级越高的应用,其漏洞奖励也越高,更值得安全研究者的关注:
1.1 核心应用
核心应用包括下列产品的管理控制台或OpenAPI:
弹性计算
云服务器ECS(ecs.console.aliyun.com)数据库
云数据库 Redis版(kvstore.console.aliyun.com)
云数据库 RDS版(MySQL、SQL Server)(rdsnext.console.aliyun.com)存储与CDN
对象存储OSS(oss.console.aliyun.com)
文件存储NAS(nas.console.aliyun.com)
CDN(cdn.console.aliyun.com)网络
专有网络VPC(vpc.console.aliyun.com)
负载均衡(slb.console.aliyun.com)
弹性公网IP(vpc.console.aliyun.com/eip)安全
云盾控制台(yundun.console.aliyun.com)
1.2 普通应用
普通应用包括核心应用未列举的产品,以及下列产品的管理控制台或OpenAPI:
- 域名与网站
- 视频服务
- 监控与管理
- 大数据
- 云通信
- 应用服务
- 互联网中间件
- 移动云
1.3 边缘应用
核心应用和普通应用之外的应用或系统
1.4 数据优先级
下表展示了不同应用数据的优先级情况:
| 优先级 | 定义 |
|---|---|
| 核心数据 | 阿里云主站域名下的应用(aliyun.com)涉及的生产数据 |
| 普通数据 | 非阿里云主站域名的应用涉及的数据,如YunOS等 |
二、漏洞奖励如何评定?
根据漏洞的危害程度,阿里云将漏洞划分为严重、高、中、低四个等级。由阿里云根据漏洞的利用场景、危害程度、利用难度、报告质量等综合因素给予相应奖励。下面是不同等级漏洞的奖励额度范围:
| 权重分值 | 严重 | 高危 | 中危 | 低危 |
|---|---|---|---|---|
| 核心应用 | 50000-100000 | 20000-50000 | 5000-10000 | 500-2000 |
| 普通应用 | 5000-10000 | 2000-5000 | 500-1000 | 0 |
| 边缘应用 | 1000-1500 | 300-500 | 0 | 0 |
针对核心应用高质量的漏洞,阿里云还会提供最高五万元的额外奖励。阿里云将根据下表给予额外奖励,其中严重和高危漏洞需要满足全部的奖励条件才可获得额外奖励,中危、低危漏洞只需满足奖励条件的一条即可获得额外奖励。
| 漏洞等级 | 额外奖励 | 奖励条件 |
|---|---|---|
| 严重 | 5万 | 1. 每发现一个严重漏洞,均可获得额外奖励 |
| 高危 | 4万-5万 | 1. 最终获取控制权限的机器里包含「核心应用」或最终获取的数据里包含「核心数据」 2. 整个攻击过程中的任意路径,不被阿里云入侵检测体系24小时(从拿到数据或权限后开始计时)内有效感知 |
| 中危 | 1万-2万 | 1. 通过不同手段获取任意一台阿里云生产网机器的控制权限 2. 通过攻击手段(非外部业务越权或信息泄露漏洞)获取到阿里云的生产数据 |
| 低危 | 1万以下 | 1. 通过不同手段获取任意一台阿里云非生产网机器的控制权限 2.通过入侵手法(非外部业务越权或其他信息泄露漏洞),可获取阿里云的其他重要数据 |
三、漏洞危害如何定级?
阿里云根据漏洞的危害程度划分漏洞等级,具体的划分标准如下:
3.1 严重漏洞定级标准
- 获取到核心应用服务器的控制权限;
- 获取到核心应用数据库的访问权限(可查询数据);
- 可控制云计算的调度系统,对阿里云上租户的资源进行调度操作;
- 严重的越权漏洞。如:可从租户的虚拟机逃逸到宿主机、越权获取其他租户的数据;
- 可批量获取阿里云上客户的数据。如ECS快照、租户的RDS数据以及其它提供数据服务产品内的数据。
3.2 高危漏洞定级标准
- 直接获取单个系统权限的漏洞(系统包括但不限于非生产网系统、非共享区系统的权限)。包括但不仅限于远程命令执行、任意代码执行、上传获取Webshell、SQL注入获取系统权限;
- 重要的敏感信息泄漏,包括但不仅限于重要核心业务数据库的SQL注入、源代码压缩包泄漏、核心AK泄露、可获取大量核心业务数据等接口问题引起的敏感信息泄露;
- 严重的逻辑设计缺陷和流程缺陷,包括但不仅限于批量修改任意账号密码漏洞、涉及核心业务的逻辑漏洞等;
- 敏感信息越权访问,包括但不仅限于绕过认证直接访问管理后台、重要后台弱密码、获取大量内网敏感信息的SSRF等;
- 企业重要业务越权敏感操作,包括但不仅限于越权修改账号重要信息、修改重要业务配置等较为重要的越权行为;
- 大范围影响用户的其他漏洞,包括但不仅限于可造成自动传播的重要页面存储型XSS(包括存储型DOM-XSS);
3.3 中危漏洞定级标准
- 需交互方可影响用户的漏洞,包括但不仅限于一般页面的存储型XSS,涉及核心业务的CSRF等;
- 普通越权操作,包括但不仅限于包括但不限于绕过限制修改用户资料、执行用户操作等;
- 拒绝服务漏洞,包括但不限于导致网站应用拒绝服务等造成影响的远程拒绝服务漏洞等;
- 由验证码逻辑导致任意账户登陆、任意密码找回等系统敏感操作可被爆破成功造成的漏洞;
- 本地保存的敏感认证密钥信息泄露,需做出有效利用证明;
- 对核心业务服务器稳定性造成一定影响,但无法进行高危操作的漏洞。
3.4 低危漏洞定级标准
- 本地拒绝服务漏洞,包括但不仅限于客户端本地拒绝服务(解析文件格式、网络协议产生的崩溃),由Android组件权限暴露、普通应用权限引起的问题等;
- 普通信息泄露。包括但不限于web路径或系统路径遍历、目录浏览等;
- 能有效利用的反射型XSS(包括DOM XSS / Flash XSS);
- 普通CSRF;
- URL跳转漏洞;
- 能对普通业务造成一定影响,但是无法进行高危操作。
四、主要关注哪些漏洞类型?
在奖励范围内的有效漏洞类型有:
- 命令/代码执行
- 反序列化
- 注入漏洞
- 敏感信息泄露
- 越权漏洞
- 逻辑漏洞
- 跨站脚本漏洞(XSS)
- 服务器端请求伪造(SSRF)
- 跨站请求伪造(CSRF)
- 访问控制/认证绕过
- 使用有漏洞的第三方组件
- 安全配置错误
- 任意文件操作
- 弱口令
如果你的漏洞报告不在上述类型之内,但是漏洞有很大的危害或影响,提交的报告也同样会有奖励。危害较大但是漏洞类型不在计划范围内的报告将由阿里云评估后决定奖励金额。
除此之外,在提交漏洞时,高质量的漏洞报告将最大程度上加快安全工程师理解和处理漏洞的速度。有效的漏洞报告要求包含:漏洞的请求包或URL、漏洞类型、漏洞的复现步骤、漏洞的Payload、漏洞的危害证明、漏洞的修复建议等。
五、哪些漏洞报告不能获得奖励?
本次活动不收取的漏洞问题如下所示,如果提交了下面漏洞类型的问题,可能无法获得奖励:
- SPF邮件伪造漏洞
- 短信炸弹、邮件炸弹
- Self-XSS、Post型反射XSS及其他无法有效利用的XSS
- 非敏感操作的CSRF问题
- 单独的安卓allowBackup问题,本地拒绝服务问题等(深入利用的除外)
- 修改图片size造成的请求缓慢问题
- Nginx, Tomcat等版本泄露的问题
- 一些功能BUG,无法造成安全风险的问题
- 其他危害较低、不能证明危害的漏洞(如无法获取到敏感信息的CORS漏洞)
如果收到相同漏洞的报告,阿里云将按照提交时间只收取第一份表述清晰、逻辑完整的漏洞报告。除此之外,同一个漏洞源产生的多个漏洞将视为一个漏洞,收取时会被打包。
六、测试过程中的要求有哪些?
对高危和严重漏洞的深度测试,测试之前需要向阿里云进行报备,在得到阿里云允许后,才能进行下一步操作。如果安全人员对测试过程中,无法确定高危操作的危害和后果,需要先和阿里云进行电话沟通,确认后再进行下一步操作。
在测试过程中,阿里云禁止安全人员有如下的测试行为和操作:
- 漏洞信息和攻击过程未经允许就对外披露或公开;
- 对目标系统发起任何形式的DoS和DDoS攻击;
- 对目标系统和业务造成破坏和干扰;
- 对目标系统重要数据进行窃取、篡改、散布;
- 对阿里云员工进行各种形式的网络钓鱼或其他社会工程攻击;
- 获取大量不属于个人的数据;(数据获取限制:支付结算、证券交易、期货交易等网络金融服务的身份认证信息不得超过10组,身份认证信息不得超过500组,其他数据和信息不得超过1000组重要文件拖取不得超过100M)
七、如何提交漏洞报告?
漏洞需要提交到 阿里云先知平台 下的 飞天守护计划 众测任务。
如果发现无法提交漏洞或者有其他活动相关的问题,请使用 钉钉 联系pinkomeo 或微信联系 390373116。
八、其他参考条款或公告
如有侵权请联系:admin#unsafe.sh