熵基科技产品安全奖励计划

熵基科技产品安全奖励计划

更新日期：2025年01月22日

基本原则

熵基科技深知产品与业务安全的重要性，并致力于通过与安全社区及行业伙伴的紧密合作，不断提升我们产品和业务的安全性。为此，我们正式推出了熵基科技产品安全奖励计划，以鼓励和表彰对提升我们安全性做出贡献的个人或团队。

我们郑重承诺，对于通过该计划提交的每一项安全问题报告，都将由专业团队负责跟进，进行全面的分析和妥善的处理。我们确保对报告者的反馈进行及时回应，以展现我们对安全问题的严肃态度和迅速反应能力。

本计划包括熵基科技如下链接的所有产品：

https://www.zkteco.com/cn/product_category

如果您发现潜在缺陷产品不在上述产品范围，请联系熵基科技PSIRT邮箱psirt@zkteco.com反馈，我们会考虑持续维护和刷新本列表，并在第一时间作出响应和答复，也请您持续关注。

1. 漏洞奖励和评级标准

1.1漏洞的影响程度分级

为明确划分覆盖漏洞的影响程度，特制定影响程度分级标准。按照造成特别严重的系统损失的标准、造成严重系统损失的标准、造成较大系统损失的标准以及造成较小系统损失的标准来进行划分。（用于界定已经发生或者提前发现未造成实际损害的漏洞的危害级别的界定，分别对应下文的严重、高危、中危、低危漏洞）

1）造成特别严重系统损失

造成系统或设备大面积瘫痪，使其丧失业务处理能力，系统或者设备的关键数据的保密性、完整性、可用性遭到严重破坏，恢复系统或设备正常运行和消除安全事件负面影响所需付出的代价十分巨大，对于公司业务是不可承受的。

2）造成严重系统损失

造成系统或设备长时间中断或者局部瘫痪，使其处理业务能力受到了极大的影响，或者系统或设备关键数据的保密性、完整性、可用性遭到破坏，恢复系统或者设备正常运行和消除安全事件造成的负面影响所需付出的代价较大，但是对于公司业务是可以承受的。

3）造成较大系统损失

造成系统或者设备中断，影响系统效率，使得重要信息系统或者一般信息系统业务处理能力受到影响，使得系统或设备的重要数据的保密性、完整性、可用性遭到破坏，恢复系统或设备正常运行和消除安全事件的负面影响的所需付出的代价较大，但对于公司业务是完全可以接受的。

4）造成较小系统损失

造成系统或者设备短暂中断，影响系统或设备的效率，使得系统业务处理能力受到影响，系统或设备的重要数据的保密性、完整性、可用性遭到影响，恢复系统或设备正常运行和消除安全事件的负面影响所需付出的代价较小。

1.2 漏洞奖励

奖励根据漏洞对产品影响程度、影响范围、漏洞等级，以及漏洞报告的描述清晰度进行计算。根据漏洞等级不同，熵基科技将会根据规范申请不同等级礼品。

其他说明：

1）子公司相关资产的漏洞危害程度将按照1.2中的漏洞评级标准进行降级（如：符合“漏洞”等级的漏洞将降级为“高危”，以此类推，“低危”则不予奖励）。

2）同一功能的越权增删改查，同一个 URL 多个参数存在相同类型漏洞，以及同一个漏洞源产生的多个漏洞（如：全局函数、全局配置导致的问题、同一配置影响的多个文件、同一漏洞的不同利用方式、同一函数导致漏洞等、同一功能模块下的不同接口，同一文件的不同参数、同一参数出现在不同文件、同一文件在不同目录、不同版本的同一漏洞）均计为一个漏洞。

3）同一站点的同类型漏洞最多收取三个。

1.3 漏洞评级标准

【严重】

1）直接获取核心系统（核心控制系统、域控、业务分发系统、堡垒机、防火墙等可管理大量服务器的管控系统）或核心服务器权限的漏洞，包括但不限于：上传Webshell、任意代码执行、远程命令执行、服务器解析漏洞、文件包含漏洞、远程缓冲区溢出、虚拟机逃逸、SQL注入获取系统权限；

2）核心系统严重的信息泄露漏洞，包括但不限于：核心DB的SQL注入、大量用户重要敏感信息泄露（至少包含3个敏感字段：姓名/身份证、手机号/邮箱、密码、地址、卡号、二维码、barcode、条形码、公司、部门、消费数据、考勤和通行数据、生物识别信息等）、公司涉密信息的漏洞、企业内部核心数据泄露、核心设备配置数据和日志数据泄露，包括但不限于SQL注入(不包括撞库与爆破)；

3）核心系统严重的逻辑设计漏洞或流程缺陷，包括但不限于：批量修改任意账号密码漏洞、任意账号资金消费和任意金额修改的支付漏洞等，对用户、公司造成重大损失；

4）可远程对我司管理的核心系统、核心服务器的可用性造成永久严重影响的漏洞，包括但不限于：直接导致核心系统业务瘫痪、核心服务器瘫痪的拒绝服务漏洞。

5）直接获取资产的操作系统权限，包括但不限于任意命令执行、多途径Getshell、远程代码执行、缓冲区溢出等；

6）通过虚拟机逃逸获取宿主机命令执行权限的漏洞。

7）可以导致内网漫游的漏洞。

【高危】

1）直接获取重要业务服务器权限的漏洞，包括但不限于：上传Webshell、任意代码执行、任意命令执行、服务器解析漏洞、文件包含漏洞、远程缓冲区溢出、虚拟机逃逸、SQL注入漏洞；

2）直接导致重要的信息泄漏漏洞，包括但不限于：重要DB的SQL注入漏洞、文件遍历、服务器任意文件读取、重要业务大量源码或压缩包泄露；

3）大范围影响用户的漏洞，包括但不限于：核心业务可造成自动传播的存储型XSS、可获取管理员认证信息且成功利用的存储型XSS、可导致蠕虫的CSRF等、可获取敏感信息或者执行敏感操作的重要客户端产品的XSS漏洞；

4）严重的越权访问，包括但不限于：弱口令或绕过认证访问重要系统后台、批量盗取用户重要身份信息；

5）较严重的逻辑设计或流程缺陷，如重要系统任意密码重置漏洞；

6）可远程对重要业务系统、重要服务器的可用性造成永久严重影响的漏洞，包括但不限于：直接导致重要系统业务瘫痪、重要服务器瘫痪的拒绝服务漏洞。

7）获取目标系统管理员的登录信息且利用此登录信息成功登录管理后台或导致蠕虫影响大量用户的存储型XSS漏洞；

8）直接导致较严重影响的逻辑漏洞，包括但不限于任意帐号密码更改、获取管理后台操作权限、批量获取业务敏感信息等；

9）严重的越权访问，包括但不限于绕过认证访问后台、获取仅能管理员才可以下载的文档；

10）获取数据库连接信息导致数据库被拖库的任意文件读取漏洞；

11）可直接访问或调用内部重要服务或接口的漏洞；

12）导致核心系统拒绝服务攻击或宕机、蓝屏的漏洞；

13）一般业务系统命令执行、getshell、缓冲区溢出、数据溢出、管理员弱密码等获取系统权限的漏洞；

【中危】

1）需交互才能获取用户身份信息的漏洞，包括但不限于：重要敏感操作的CSRF、普通业务的存储型XSS；

2）较严重的信息泄漏，包括但不限于：获取非敏感数据的SQL注入漏洞、无法回显的SSRF漏洞、包含敏感信息（如DB连接密码）的源代码或压缩包泄漏、本地保存的敏感认证密钥信息泄露（需能做出有效利用）；

3）普通的越权访问漏洞，包括但不限于：绕过限制访问非重要系统后台、不正确的直接对象引用、绕过限制修改用户资料、执行用户操作、读取用户信息、非关键业务篡改；

4）普通逻辑设计缺陷，包括但不限于：验证码逻辑错误导致任意账户登录、任意密码找回等系统敏感操作可被爆破成功造成的漏洞、无限制短信等发送等；

5）任意文件操作漏洞，包括但不限于：任意文件读/写/删除/下载等操作、任意文件上传，如上传html导致存储型XSS。

6）可更改系统或应用系统日志的漏洞；

7）任意文件读取漏洞或无法造成严重影响的XXE漏洞；

8）druid或swagger UI等泄露接口信息或数据库查询信息的未授权访问漏洞；

9）可滥用一般业务或篡改非核心数据的漏洞；

10）核心业务页面的CSRF漏洞；

11）数据量较少且无法直接获取系统权限的SQL注入漏洞。

12）上传文件可被解析执行的任意文件上传漏洞。

【低危】

1）跨站脚本漏洞，包括但不限于：反射型XSS（包括DOM XSS和Flash XSS）、Json Hijacking；

2）可绕过短信或图形化验证码爆破账户的漏洞；

3）不可任意获取数据库数据的SQL注入漏洞；

4）轻微的信息泄露漏洞如网站目录遍历、IIS短文件名、SVN信息泄露、安全日志泄露、phpinfo、tomcat样例文件泄露、Django开启debug模式、workspace.xml文件泄露等漏洞。

5）危害有限的越权操作。

1.4 不予奖励范围

以下攻击不在我们的漏洞奖励计划范围内：

1)在奖励计划所列产品链接以外的漏洞不奖励（对影响较大的漏洞可例外评估）；

2）没有安全影响的软件功能性错误（如网页无法打开、网页乱码、网页响应变慢，使用代理池等技术通过更改限制对象从而绕过认证验证限制等）；

3）轻微的信息泄漏，包括但不限于：绝对路径泄漏、phpinfo、svn/cvs信息泄漏、Web目录遍历、系统路径遍历、目录浏览、有一定敏感信息的本地日志等；

4）存在安全隐患但难以利用的漏洞，包括但不仅限于：需要用户连续交互的敏感安全漏洞、难以利用的SQL注入点、客户端本地拒绝服务;

5）无法利用的漏洞，包括但不限于没有实际危害证明的漏洞扫描报告、无敏感操作的CSRF、无意义的源码泄漏、内网IP地址/域名泄漏；

6）不能直接反映漏洞存在的其他问题，包括但不限于纯属用户猜测的问题；

7）多人或同一人提交重复的漏洞，最先提交并清晰表述、重现此漏洞报告者视为有效，其他不奖励；提交网上已公开漏洞不奖励；

8） 使用开启了开发者模式的手机测试发现的漏洞；

9）遍历手机号发短信，遍历用户名（邮箱）判断是否已注册、邮箱轰炸、无意义或无影响的越权;

10）电子邮件欺骗；

11）URL跳转漏洞；

12）任意形式的社会工程攻击；

13）低影响的本地DoS攻击；

14）暂时性拒绝服务攻击导致系统挂起或设备重启（导致服务进程挂死或异常退出的可例外评估）；

15）所有暴力强力拒绝服务攻击；

16）任何使设备永久无法工作的攻击；

17）需要过度的用户交互或欺骗用户的场景，如钓鱼攻击或点击劫持；

18）基于通过非法途径获得熵基科技机密信息所做的报告；

19）完全或部分路径泄漏，但可演示实际的安全影响时除外；

20）任何非敏感信息泄露，如网站代码异常信息泄露、内网IP地址泄露、邮箱地址泄露、tomcat样例文件泄露；

21）上传文件无法解析的任意文件上传漏洞；

22）仅可证明漏洞存在但利用方式未公布或无法直接利用的漏洞；

23）通过版本比较认为漏洞存在但无法给出漏洞利用证明；

24）无实际危害证明的扫描器结果；

25）仅可遍历网站静态文件的漏洞；

26）DDoS、点击劫持、web应用未开启https、邮箱轰炸、注册用户弱密码等漏洞；

27）使用复杂方式造成钓鱼效果的不安全编码问题；

28) 任意用户注册漏洞； 

29) 通过修改url导致重定向到其他域名的任意URL跳转漏洞；

30）无法获取敏感信息或权限的反射型XSS与CSRF漏洞；

31）会话固定漏洞；

32）论坛刷赞、获取论坛虚拟币、提升虚拟积分等不会造成严重影响的逻辑漏洞；

33）仅可造成注册用户可以访问的数据泄漏的逻辑漏洞或越权漏洞等。

34）影响熵基科技设备的开源及第三方漏洞通常不奖励（对影响较大的漏洞可例外评估，奖励金额低于同级别原创漏洞）。

2. 报告要求

为了便于验证和定位漏洞，漏洞报告应包含该漏洞的详细说明和完整的POC或Exploit。

2.1 报告描述要求

1）漏洞描述，需要包含漏洞类型、产生原因、利用方式、漏洞可能造成的安全风险等；

2）受影响的产品或服务名称、模块名称、详细的版本信息、具体的漏洞位置；

3）描述复现所需的详细步骤，采用文字、截图、图形等方式，按步骤详细阐述复现过程（推荐提交漏洞复现视频）。

2.2 POC或Exploit要求

1）提供完整可编译的POC或Exploit，可使用POC或Exploit成功验证提交的漏洞；

2）编译和运行环境说明，需包括：编译器名称，编译器版本，编译选项以及操作系统版本等必要信息；

3）POC或者Exploit的运行结果应该与报告描述一致。

漏洞报告需包含详细的漏洞描述、漏洞危害证明以及漏洞复现的POC，以便快速响应。对于漏洞报告过于简单、无任何危害证明的报告将降分处理或直接忽略。

请确保上报的报告不涉及知识产权问题，不包含法律或宗教所禁止的内容。

3. 法律信息

参与熵基科技漏洞奖励计划并上报漏洞不能涉及以下违规行为：

1）您只能利用、调查或攻击您自己的帐户、设备的漏洞；

2）您的测试活动不能对熵基科技的产品和服务的性能或可用性造成负面影响，不能中断在线业务，不能攻击熵基科技内部或外部服务器，也不应造成数据或物理资产的损坏；

3）测试过程中不应下载业务敏感数据，包括但不限于源代码、用户个人资料等，不得以任何方式使用、披露、存储或记录该信息；若存在不知情的下载行为需及时反馈说明并删除文件；

4）未经熵基科技事先书面同意，禁止对外披露关于熵基科技产品或服务安全漏洞的任何细节信息（这包括除您之外的任何第三方）；

5）不能故意制作，传播计算机病毒等恶意程序；

6）不能侵犯任何第三方权利（包括知识产权）；

7）您不得是熵基科技股份公司及子公司员工、离职员工、外包员工或承包商，您也不得是员工、离职员工、外包员工或承包商的直系亲属。

如果您以安全测试为借口，利用漏洞信息进行损害用户利益、影响业务正常运作、盗取用户数据等行为给我们造成了损失，或违反了相关法律法规，熵基科技将保留追究法律责任的权力。

4. 奖励发放

1）符合条件的漏洞奖励礼品等级不同。每个漏洞将根据漏洞的严重级别、攻击复杂度、影响范围和报告的详细程度进行奖励；

2）为准确送达我们寄出的礼品，我们需要收集您的国籍、所在城市、真实姓名、手机号码、家庭或公司地址、等必要信息。我们向您承诺收集这些信息只用于提供漏洞礼品，不会用作其他用途；

5. 争议解决办法

在漏洞处理过程中，如果报告者对处理流程、漏洞评定、漏洞评分等存在异议，请发邮件至：psirt@zkteco.com，将有工作人员和您沟通。

6. 其他

1）我们将会定期更新纳入奖励范围的产品、服务清单；

2）与安全漏洞无关问题将不会被答复和处理，节假日期间的响应时间会有所顺延；

3）本漏洞奖励计划自发布日期起生效；漏洞严重级别、奖励金额和支付过程完全由熵基科技决定；我们还可以随时停止奖励计划；

4）熵基科技PSIRT对以上所有条款具有最终解释权。

7. 修订记录

V1.0  2024年8月26日  初始发布

V2.0  2025年1月22日  更新发布