第1432期 某厂商Web及APP安全测试

第1432期 某厂商Web及APP安全测试

预计2020年06月29日20点启动

赏金等级

加入

海康威视萤石全面安全测试

萤石 - 海康威视旗下安全生活业务品牌,为家庭和小微企业用户提供可视化安全为基础的关爱、沟通、分享服务。萤石业务涵盖萤石云视频APP、萤石云视频服务平台、系列互联网产品(摄像机、硬盘录像机、视频盒子、报警盒子、云存储)等。

萤石安全应急响应中心定位为收集和处理互联网用户和白帽子反馈萤石产品和业务的安全漏洞的平台,通过YSRC与白帽子、安全厂商、安全团队建立长期沟通交流机制,共同成长。

一:奖励计划:

高危:现金奖励2000元人民币

中危:50 FB金币 或 萤石C2 mini互联网摄像机一台

低危:20 FB金币 或 YSRC积分10分(可以通过积分换取萤石商城的智能设备)

二、漏洞报告和处理流程

方式一:漏洞盒子

访问https://www.vulbox.com/bounties/detail-127 报告您所发现的安全漏洞,所有信息将第一时间与产品官方同步。

通过漏洞盒子方式提交漏洞,每月入围排行榜TOP3可获得额外金币奖励(100FB金币、50FB金币、25FB金币,1FB金币=5元)

方式二:萤石安全应急响应中心

发送邮件至security.sp7@hikvision.com报告您所发现的安全漏洞。

业务部门修复漏洞,修复时间根据问题的严重程度及修复难度而定,严重和高风险漏洞24小时内,中危风险三个工作日内,低危风险七个工作日内。部分漏洞受版本发布限制,修复时间根据实际情况确定。严重或重大影响漏洞会单独发布紧急安全公告。

三、评分原则

对于每一个漏洞,我们会根据漏洞利用的技术难度、漏洞造成的影响等进行综合考虑,分成不同的层次,并给予响应的奖励。具体漏洞评价标准参考《萤石安全报告处理流程V1.0》

1) 评估标准仅针对萤石产品和业务。域名包括ys7.com下的主域名和子域名,产品为萤石发布的产品或解决方案。与萤石业务完全无关的漏洞,无奖励。
2) 以上评估标准仅做技术层面的参考,最终危害将以技术面危害和实际业务的影响作为判定标准。
3) 确认为非生产环境(比如测试平台、体验平台)的漏洞危害等级将降一等级。
4) 提交网上已公开的漏洞无奖励。
5) 同一漏洞最早提交者有奖励。
6) 由同一个漏洞源产生的多个漏洞计漏洞数量为一个,例如;服务器某一配置、应用框架某一全局功能、同一文件或模板、泛域名解析等引起的多个问题。
7) 以漏洞测试为借口,利用漏洞进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的,将无奖励,同时萤石保留采取进一步法律行动的权利。
8) 通过其他渠道已经获知的漏洞做忽略处理。

四、漏洞提交

漏洞盒子:https://www.vulbox.com/bounties/detail-127

YSRC:http://ysrc.ys7.com/

商务咨询:400-156-9866
商务邮箱:mkt@vulbox.com

电话服务(周一至周五 早9:00–18:00)