公告

首页 > 公告 > 公告详情

点融漏洞报告与处理流程

发布时间: 2016年10月28日

      

公告编号:DSRC-2016-001

公告来源:点融网安全应急响应中心

公告内容:

一、DSRC漏洞提交流程

1、注册并完善资料

  •        漏洞提交者通过注册点融网账号(https://www.dianrong.com/)登陆点融安全应急响应中心(即DSRC),并在平台完善个人资料。请漏洞提交者提供真实有效的信息,以保证奖励的正常发放。

2、漏洞提交

  •        漏洞提交者通过登陆点融安全应急响应中心(https://security.dianrong.com/),通过“漏洞提交”进行申报。提交漏洞中,请尽量对漏洞细节进行较为详尽的描述,可在附件上添加图片进行解释。
  •        在漏洞修复现请务必不要公开和传播漏洞的细节。

二、DSRC漏洞处理流程

1、漏洞审批

  • 工作日中漏洞提交后24小时内DSRC会对收到的漏洞报告进行确认和评估,在评估过程中将出现以下状态:
  • 1)漏洞未通过:包括漏洞不存在、重复上报或漏洞描述不清晰,对于由于描述不清晰而未通过的漏洞可补充信息重新提交。
  • 2) 已确认:漏洞确认存在,DSRC会在漏洞确认后给出漏洞评级和积分奖励。

      同一漏洞被不同人提出,以第一提出人为奖励发放对象。及时确认漏洞的存在以及给出评级、积分奖励,请报告者在提交漏洞过程中尽可能的给出详细的漏洞详情。必要时,会与报告者进行沟通联系。

2、漏洞修复

  • 在漏洞确认后,点融将修复漏洞并上线。修复时间根据问题的严重程度及修复难度而确定:
  • 高风险漏洞:3个工作日内修复,特别严重者24小时内修复
  • 中等风险漏洞:7个工作日内修复
  • 低等风险漏洞:15个工作日内修复
  • 注:移动客户端漏洞因版本更新发布时间限制,具体修复时长不定。

3、漏洞奖励

      根据点融漏洞评分标准进行定级、评分,漏洞奖励可在点融商城自由兑换礼品。

      为了礼品的正常发放,请白帽子完善个人资料以便于实体物品的顺利发放。虚拟礼品将会在与报告者沟通后发放。

三、DSRC声明

       利用漏洞损害用户利益、影响业务运营、盗取用户数据等违法行为,无论是否以测试漏洞为借口,点融网均将保留追究法律责任的权利。如在漏洞修复前在各个平台中进行曝光(包括但不限于自媒体平台,如微博、微信、博客等)将不予发放奖励积分。

       在漏洞处理过程中,如果报告者对漏洞处理流程、漏洞定级评分等有任何异议,可以发送邮件至security@dianrong.com