公告编号：FSRC-2016-19

公告日期：2016-11-10

近期，我们接到反馈，认为我们对高危漏洞的奖金分配不够透明，因此在此说明：

1、根据现行的《FSRC安全情报定级及积分规则 V1.1》，高危漏洞范围如下：

1）直接获取业务服务器权限的漏洞，包括但不限于远程任意命令执行、上传webshell、SQL注入获取系统ROOT权限、可利用的远程内核代码执行漏洞、其它因逻辑问题导致的可利用的远程代码执行漏洞；

2）直接导致严重信息泄漏的漏洞，包括但不限于核心DB（身份、资金、交易相关）的SQL注入漏洞，可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露； 

3）直接导致严重影响的逻辑漏洞，包括但不限于任意帐号密码更改漏洞、交易支付方面的严重问题、越权且批量获取用户核心业务数据漏洞、批量窃取用户账户控制权的漏洞；  

4）直接导致批量越权敏感操作的漏洞，敏感操作包括但不限于绕过限制修改用户重要资料、发送/查看/删除/回复询盘、修改密码、虚拟资金消费；

5）直接导致业务拒绝服务的远程拒绝服务漏洞。

2、高危漏洞的评分范围是7-10分，基准奖金范围是1400-2000元，主营业务的高危漏洞奖金上限为基准奖金的1.5倍，也就是3000元。主营业务的定义请参见：《FSRC安全情报定级及积分规则 V1.1》中业务类别一节。

3、高危漏洞的分值与奖金评定，均以漏洞危害范围和深度作为主要判断依据。其中"直接"和"批量"是关键。以严重信息泄露漏洞为例，直接影响全站的，按漏洞奖金上限奖励。批量但非全站，或者是全站但非直接的，则根据涉及的用户数量、利用门槛等因素评估，影响范围越广，利用门槛越低，则奖金越接近奖金上限。

4、FSRC 绝不存在主观尚故意压制奖金的行为。对于沟通不畅、能力问题或工作失误可能导致的奖金问题，我们深表歉意。我们将在今后的工作中加强事前沟通，在规则范围内，给予白帽子合理的奖励。

5、FSRC 对漏洞的定级和奖励，均以现行的积分和奖励规则为准。如有问题，欢迎随时通过官方邮箱、QQ和我们沟通联系。

焦点安全应急响应中心

2016年11月10日