公告编号：FSRC-2016-10

公告日期：2016-07-08

1、关于不在安全情报收集和奖励范围的域名的说明

部分二级域名虽然与焦点科技旗下业务所用域名有关，但网站管理和运维与焦点科技无关，故不在收集和奖励范围。此类域名包括但不限于：

my.csfz.cn
photo.csfz.cn
bak.csfz.cn
en.csfz.cn
fgd.csfz.cn
ftp.csfz.cn
lvyou.csfz.cn
www2.csfz.cn

如此类域名有新增，我们将会在与白帽子的沟通中说明，并及时在公告中补充说明。

2、关于同一个漏洞的说明

同一个漏洞是指同一个漏洞源导致的漏洞，包括但不限于以下情况：

1）同一个页面存在的同一个漏洞；

2）同一个URL中不同的参数存在的同类漏洞，比如同一个URL中引起的多个XSS漏洞。该漏洞的奖金将优先参考提交时间，同时综合漏洞利用细节分配；

3）页面不同，但是事实上是调用相同的功能模块存在的安全漏洞，比如分布在不同页面，但调用的同一个搜索功能存在的同类漏洞；

4）同一个第三方插件/组件造成的同类漏洞，比如wordpress的同一个插件存在的同类（如XSS类）漏洞将被认定为同一个漏洞；

同一条威胁情报定义与之类似。

本补充说明将在《FSRC安全情报定级及积分规则》下一次修订时添加至其中。

本补充说明的最终解释权归焦点安全应急响应中心所有。