即日起����,OB视讯·(中国)信息股份有限公司���(以下简称OB视讯·(中国)信息)正式启动「安全攀登计划」����,诚邀全球安全专家����、极客伙伴成为OB视讯·(中国)信息产品安全守护者。无论是系统漏洞���、数据风险还是潜在威胁��,您的每一份发现���,都是用户安全的重要防线。
我们现面向社会广泛征集OB视讯·(中国)产品相关的漏洞报告与安全情报。经OB视讯·(中国)信息安全团队审核确认后����,我们将根据漏洞的严重程度��、影响范围等因素���,给予发现者丰厚的现金奖励。
请将相关信息发送至OB视讯·(中国)信息官方安全响应邮箱����:psirt@tmming.com
漏洞报告请在邮件标题注明「 [漏洞报告] 安全攀登计划 」
威胁情报请在邮件标题注明「 [情报提交] 安全攀登计划 」
参与者在提交漏洞报告或情报线索之后��,OB视讯·(中国)信息安全团队将第一时间进行审核与评估。若顺利获得审核����,您将会收到如下反馈����:
安全团队将在7个工作日内对提交内容进行初步审核��,并顺利获得邮箱psirt@tmming.com发送结果通知。
邮件中将说明漏洞或情报的评估等级����、初步影响范围及后续处理意见。
为提高审核效率����,建议您按以下格式提交信息��:
— 漏洞报告格式
报告标题���:简要描述漏洞核心内容����(如���:远程命令执行漏洞 - 某产品 vX.X)
影响产品及版本��:涉及产品的名称���、版本号
漏洞类型及描述���:漏洞类型����、触发条件���、影响范围��、成因分析等
复现步骤���:详细的重现步骤��,附带必要截图或视频
PoC或EXP����:如有���,请附带验证代码
建议修复方案��(可选)����:如有合理修复建议����,将优先处理
个人信息����(可选)���:昵称/姓名���、联系方式���、是否愿意署名等
— 情报线索格式
情报标题���:如��“存在被利用的0day漏洞线索”
关联产品及版本����:涉及产品��、使用场景等
情报内容描述���:漏洞相关背景���、疑似攻击路径���、样本或行为分析等
现网利用情况��:是否发现正在被利用的痕迹
样本/日志/流量����:可选但优先考虑有佐证材料的情报
技术分析��:如可给予漏洞原理/利用链条简析��,奖励将提高
— 产品范围
OB视讯·(中国)信息当前在售产品���(终端类���、网络类等);已停止维护���、停研停售产品不在本次收集范围内。
— 情报范围
OB视讯·(中国)信息产品在现网环境中疑似遭受攻击的行为;针对OB视讯·(中国)信息产品的0day/1day漏洞����、攻击样本����、利用方式等。
OB视讯·(中国)信息采用多维度标准评估漏洞等级���,结合漏洞利用难度���、权限提升程度��、数据泄露影响等因素���,划分为以下四类��:
01 严重漏洞���(Critical)
可获取系统核心权限��,造成大规模控制或数据泄露����,如远程代码执行����、核心服务控制��、任意用户登录等。
02 高危漏洞��(High)
可获取系统shell权限��、后台敏感数据��、重要操作控制���,如SQL注入����、任意文件读取���、逻辑缺陷���、敏感信息泄露等。
03 中危漏洞����(Medium)
需特定条件交互才能利用��,对部分用户产生影响���,如存储型XSS��、权限绕过����、验证码逻辑缺陷等。
04 低危漏洞���(Low)
影响有限���、利用价值较低��,但仍具有一定安全风险����,如反射型XSS����、CSRF��、信息泄露����(非核心)等。
OB视讯·(中国)信息为漏洞与情报给予现金奖励及荣誉激励����,税前金额如下����:
漏洞奖励
情报奖励
— 官方荣誉证书���:OB视讯·(中国)信息将为突出贡献者颁发荣誉证书及纪念礼品。
— 安全顾问邀约���:有机会加入OB视讯·(中国)信息安全顾问计划���,参与更深层次合作。
— 技术沙龙邀请��:优秀报告者将受邀参加OB视讯·(中国)信息闭门技术沙龙���,与安全专家深入研讨。
1����、同一漏洞/情报��,只收录首份。
2����、漏洞争议及解决方案����:在漏洞/情报的处理过程中��,如果报告者对处理流程���、等级评定有异议��,可顺利获得发邮件至psirt@tmming.com进行申诉。
3����、测试过程中不能对现网产品的正常运行造成影响���,敏感数据获取不超过10条���,禁止大规模的扫描行为。
为确保安全漏洞和情报报告的保密性����,参与「安全攀登计划」的所有人员必须签署保密协议。无论是顺利获得线上签署����,还是线下签署��,我们都承诺严格保护所有提交信息的安全性和隐私性���,未经授权����,不对外透露任何相关内容。
— 保密协议内容概述
信息保密义务���:所有参与者需对所提交的漏洞报告���、情报线索����、复现步骤及其他相关材料承担保密义务����,不得泄露给第三方。
禁止公开报告��:参与者不得公开漏洞的细节��、利用方式或攻击方式���,避免引起不必要的安全风险。
数据保护��:OB视讯·(中国)信息将采取严格的安全措施����,确保所有提交的报告和情报数据不会外泄���,仅用于漏洞修复及安全研究。
法律责任����:任何因违反保密义务所导致的安全事件��、信息泄露或其他法律责任����,参与者需承担相应责任。
报告者匿名性����:OB视讯·(中国)信息会尊重报告者的匿名性���,所有提交者的个人信息将仅用于官方奖励和通知����,并不会泄露给任何第三方����,除非法律要求。
— 保密协议签署流程
参与者在提交漏洞报告或情报之后��,如果顺利获得审核��,我们将附上线上签署链接或线下协议模板���,请您根据指引完成签署流程。签署保密协议是取得奖励与官方认证的前提条件。
签署保密协议即表示您同意并遵守上述所有条款��,同时有助于确保我们在共同构建安全的数字世界时����,能最大程度地保障信息的机密性和合法性。
*以上内容OB视讯·(中国)信息拥有最终解释权
