泛微安全应急响应中心(WEAVERSRC)

泛微成立于2001年,总部设立于上海,专注于协同管理软件领域,并致力于以协同OA为核心帮助企业构建全员统一的移动办公平台。

https://www.weaver.com.cn |security@weaver.com.cn
审核处理时效
0.7 Days
申诉处理时效
0.3 Days

漏洞奖励计划

  • ¥10000-¥20000

    严重

  • ¥3000-¥5000

    高危

  • ¥500-¥1000

    中危

  • ¥100-¥200

    低危

SRC简介

 2019.10.14,泛微安全应急响应中心(WEAVERSRC)正式上线。泛微与漏洞盒子平台携手共建互联网安全新生态。

漏洞规则


严重安全问题

1.登陆前直接获取服务器权限的漏洞,包括但不限于上传Webshell、远程命令执行等。

高危安全问题

1.登陆后直接获取服务器权限的漏洞,包括但不限于上传Webshell、远程命令执行等;

2.登陆前可获取大量业务、敏感数据的SQL注入漏洞;

3.登陆前重要业务敏感数据信息泄露漏洞,包括但不限于重要用户信息、数据文件信息等;

4.重要业务的逻辑漏洞,包括但不限于核心功能越权等。

中危安全问题

1.登陆后可获取大量业务、敏感数据的SQL注入漏洞;

2.登陆后重要业务敏感数据信息泄露漏洞,包括但不限于重要用户信息、数据文件信息等;

3.一般功能的越权;

4.一般风险的业务安全问题,如短信轰炸等。

低危安全问题

1.其余低风险安全问题,如物理地址泄露、邮箱轰炸等。


无影响

1.无法利用的或无实际危害的漏洞。包括但不限于不可利用的Self-XSS、非重要交互(如查询类操作)的 CSRF、静态文件目录遍历、401 认证钓鱼、无敏感信息(如用户昵称、用户个人公开的信息、已脱敏的敏感信息等)的 JSON Hijacking 、横向短信轰炸等;

2.实际业务安全性无影响的 Bug,包括但不限于产品功能缺陷、页面乱码、样式混乱等。

不接收

1.所有类型的XSS漏洞;

2.所有类型的CSRF漏洞;

3.所有类型的DoS漏洞;

4.以下域名漏洞暂不接收:

*.eteams.cn

*.ebiaoge.com

*.e-biaoge.com

*.qiyuesuo.com


厂商保护机制

如果同一个系统中短时间发现了大量的同类型高危漏洞(如SQL注入、越权等),审核员判定该系统几乎没有做任何防护,会与厂商沟通该系统的该类型漏洞是否要继续收取;若厂商表示该类漏洞已知不再收取,则平台方正常审核前三个该类型漏洞,其他同类型漏洞均降级处理,并发布通知同系统同类型漏洞均不再收取,直到厂商修复后重新开放该漏洞类型收取。


漏洞积分

WEAVERSRC漏洞积分默认按照漏洞盒子平台B类厂商计算。非核心业务或边缘系统漏洞将按C类厂商积分计算。具体积分计算详见帮助中心[漏洞盒子积分系统]章节:https://www.vulbox.com/faq/?id=103

WEAVERSRC每月白帽子及团队排行依据为白帽子提交泛微SRC漏洞对应积分。提交泛微漏洞积分同时会计算到漏洞盒子赛季排行中。

联系管理员
  • 白帽排行榜
  • 团队排行榜
查看所有
查看所有