安全赏金计划

AdsPower（以下简称“我们”或“公司”）致力于保障用户信息及系统安全。我们欢迎安全研究人员在遵守本政策的前提下，协助我们发现并报告潜在的安全漏洞。

在参与本计划前，请您务必完整阅读并理解本政策的全部内容。您提交漏洞或开展测试行为的，即视为您已同意接受本政策的全部约束。

本计划不构成任何形式的法律要约或奖励承诺，公司保留对漏洞认定及奖励发放的最终决定权。

漏洞反馈/提交邮箱：security@adspower.net

参与资格说明：本漏洞奖励计划仅面向外部安全研究人员，在职及已离职员工不在参与对象范围内。

一、授权测试范围（Safe Harbor）和原则

在严格遵守本政策全部条款的前提下，AdsPower授权安全研究人员仅在本政策明确列明的资产范围内，基于善意开展有限的安全测试活动。上述授权仅适用于：（1）以发现和报告安全漏洞为唯一目的；（2）不会对系统可用性、数据完整性或用户权益造成损害的行为；（3）严格遵循最小必要原则。本授权仅限于本政策明确列明的资产范围。任何超出授权范围的行为，均不构成公司授权，行为人应自行承担全部法律责任。

本政策不构成对任何适用法律（包括但不限于计算机系统保护、数据保护或刑事法律）的豁免。

合法化原则：所有测试行为必须严格遵守《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关法律法规。本政策的任何条款均不构成对上述法律的豁免。

无害化原则：所有测试行为必须以不损害用户权益、不影响业务正常运行为绝对前提。禁止任何可能造成服务中断、数据破坏、隐私泄露等实际危害的测试。

二、测试范围

仅限以下生产环境资产：

*.adspower.com

*.adspower.net

AdsPower 官方桌面客户端（三端）

未列明资产默认不在授权范围内。

三、AdsPower漏洞危害评定规则

以下漏洞等级仅作为参考标准，公司有权根据具体情况进行综合评定和调整。

严重

1. 直接获取系统权限的漏洞。包括但不限于命令注入、远程命令执行、上传获取WebShell。
2. 严重级别的敏感信息泄露。包括但不限于对公司或者用户造成巨大影响的信息泄露，多维度且数据量巨大的敏感数据，以及通过接口引发的敏感信息泄露。
3. 泄露大量核心敏感数据的漏洞，包括但不限于：核心DB的SQL注入漏洞、用户敏感信息接口越权导致的大范围泄露。
4. 无需用户交互或简单用户交互的远程代码任意执行、远程任意文件读写。
5. 可直接获取集群或堡垒机等关键基础系统管理员权限等漏洞。

高危

1. 可利用的 SQL注入漏洞（获取 user）。
2. 直接导致严重影响的逻辑漏洞。包括但不限于任意账号密码更改漏洞、任意用户登录漏洞。
3. 客户端自身功能的漏洞。包括但不仅限于以远程方式获取客户端权限执行任意命令和代码。
4. 越权访问。包括但不限于绕过认证访问管理后台，多维度敏感信息的越权访问。
5. 本地任意代码执行。包括但不限于本地可利用的代码执行以及其它逻辑问题导致的本地代码执行漏洞。（因系统缺陷导致的DLL劫持导致的产品本地任意代码执行不在收录范围）

中危

1. 普通的信息泄露。包括但不限于影响数据量有限或者敏感程度有限的越权、源代码或系统日志或无信息回显的SSRF漏洞等信息泄露。
2. 需受害者交互或其他前置条件才能获取用户身份信息的漏洞。包括但不限于包含用户、网站敏感数据的 JSONHijacking、操作（如支付类操作、发布信息或修改个人账号敏感信息类操作）的 CSRF、存储型 XSS。
3. 普通的逻辑缺陷和越权。包括但不限于一般的越权行为和设计缺陷。
4. 普通设计缺陷，包括但不限于登录窗口可爆破(需提供成功案例)、弱口令等问题。

低危

1. 轻微信息泄露，包括但不限于可登录后台但无权限或无数据操作的漏洞、PHPinfo、本地 SQL注入、近期日志打印及配置等泄露情况。
2. 只在特定情况下才能获取用户信息的漏洞，包括但不限于反射 XSS（包括 DOM型）。
3. 利用场景有限的漏洞，包括但不限于短信轰炸、URL跳转、系统的可撞库接口等。

四、漏洞评定通用原则

1. 弱口令问题：同一套系统多个用户弱口令问题只确认第一个，后续提交算重复漏洞；同一个用户弱口令可登陆不同系统，算同一漏洞，合并处理。
2. 对于SQL注入漏洞，须注出其中一条数据证明危害。严禁拖库表。单纯报错无危害证明将会被忽略。
3. 无特别声明情况下，前后关联漏洞合并处理，按级别最高的漏洞进行奖励，如先提交弱口令进入后台/内网漏洞，后提交进入后台/内网的SQL注入、越权漏洞。后提交的SQL、越权漏洞均合并处理，审核员会与安全对接人员沟通是否允许继续深入测试该系统。如许可，可正常测试，发现问题可单独提交。
4. 同一个漏洞源产生的多个漏洞计漏洞数量为一，web层面上同一域名或IP下均属同一漏洞源，漏洞奖励按级别最高的漏洞进行奖励。
5. 对于边缘/废弃业务系统，根据实际情况降级处理。
6. 对于利用条件苛刻的漏洞，根据实际情况降级处理。
7. 严重敏感身份信息定义：
8. 至少包含3个敏感字段：姓名/身份证、银行卡信息、手机号/邮箱、密码、地址；
9. 对于不满足上述条件的信息，将视信息的敏感程度降级处理。
10. 对于已获取系统权限（如webshell），禁止下载源代码审计，严禁获取、下载、复制任何非必要系统数据，包括但不限于：
    1. 源代码
    2. 数据库内容
    3. 用户信息
    4. 系统配置文件
    5. 日志数据

如需进一步验证漏洞，应事先联系审核员，审核员将会与安全对接人员沟通相关事宜，如果安全对接人员同意审计，再进行后续操作，发现漏洞可单独提交。否则，其行为将视为违规操作，一经发现冻结账户。安全对接人员情况严重程度，保留追究法律责任的权利。

五、安全测试行为规范

为确保系统稳定运行及用户数据安全，参与本漏洞奖励计划的安全研究人员在测试过程中，应遵守以下行为规范。参与本计划即视为同意遵守相关规则。

在漏洞验证过程中，安全研究人员应优先使用其自身注册的测试账号或测试环境进行验证。

在任何情况下，安全研究人员不得主动访问、获取、下载或保存真实用户的个人信息或业务数据。

漏洞验证应以证明漏洞存在的“技术能力”为限，而非实际获取数据内容。可接受的验证方式包括但不限于：（1）返回结构信息（如数据库表名、字段名）；（2）访问控制结果变化（如未授权访问成功）；（3）经脱敏或不可识别的数据片段；（4）其他不涉及真实数据内容的证明方式。

第一类：

1. 不得在漏洞修复前将漏洞相关信息泄露或披露给任何第三方。
2. 在测试过程中获取的个人信息、（如账号密码、密钥、订单信息、用户身份信息等）保密信息等，应在漏洞确认后及时删除，不得留存或传播。
3. 不得将测试过程中获取的敏感信息存储于存在泄露风险的环境中（如公开网盘、具备自动同步功能的存储工具等）。
4. 发现漏洞后应及时、完整提交相关信息，不得故意隐瞒漏洞细节或延迟提交。
5. 测试过程中避免对其他用户的正常使用产生影响。
6. 不得通过任何方式绕过访问控制机制以获取非授权数据，包括但不限于：

（1）越权访问（2）接口滥用（3）权限提升除非该行为：（1）仅在最小必要范围内进行；（2）不涉及真实用户数据；（3）不会对系统或用户产生影响。

第二类：

1. 不得利用漏洞对系统数据进行删除、篡改等破坏性操作，避免造成数据丢失或业务异常。
2. 不得利用漏洞或测试行为导致系统不可用或性能严重下降。
3. 不得通过钓鱼邮件、欺骗等社会工程学手段获取权限或窃取信息。
4. 不得从事任何可能危害计算机信息系统安全、用户权益或公司业务的行为。
5. 无意的下载、删除等行为，请立刻删除本地数据、恢复线上业务、报备漏洞审核员。

六、漏洞奖励标准

漏洞单价表：人民币/元，不含税。海外采取固定汇率 （可根据情况动态调整）

漏洞奖励评定规则

在对应漏洞等级的奖励范围内，公司安全团队将根据以下因素综合评估最终奖励金额：

1. 漏洞实际影响范围（单用户 / 多用户 / 全站）
2. 漏洞利用难度（是否需要复杂条件）
3. 是否涉及敏感数据或核心业务
4. 漏洞利用后可造成的实际危害
5. 漏洞报告质量及复现完整度
6. 最终奖励金额由公司安全团队综合评估确定。