<< 返回

关于公布联系方式和几个注意事项的再次强调!!!

17-12-04 系统公告

各位“有理想、有道德、有文化、有纪律”的“白帽子”:

       银联安全应急响应中心(USRC)目前处于起步阶段,我们深切地知道还有很多需要持续改进和优化完善的地方,敬请谅解。如果您有更好的意见和想法,可以通过邮件(usrc@unionpay.com)与我们沟通、交流。

      为了便于及时沟通,我们创建了QQ群:35060198,请申请加入时填写您在USRC平台上注册的用户名及手机号(格式为 whitehat-13812345678)以便我们确认您的身份。

     同时我们再次强调如下几个注意事项,请大家务必注意并遵守!

    1、禁止白帽子在任何公共渠道或自媒体(如微博、论坛、社区、QQ群、公众号、朋友圈等)上公开漏洞细节。

    2、同一个漏洞只认定首个提交并证明漏洞真实存在的报告者,后续报告者均不予以认定。

    3、通用安全漏洞(如Struts2、Java反序列化等)披露的第1周内,我们仅认定首次提交有效POC(建议POC编写语言使用python、C)并证明银联已有应用系统受影响的情况;经过1周后如发现仍有未修复的漏洞则按单个漏洞按注意事项第3条进行处理。

    4、严禁使用自动化漏扫或辅助工具发起高频扫描的行为,如通过银联安全监控系统对比发现漏洞提交者存在高频扫描,我们有权直接终止相关人员在USRC的全部权利;如因您上述行为给我们造成损失的,我们将依法向您追究因此受到的损失。

    5、我们鼓励直接发现应用系统自身安全缺陷的行为,如果白帽子通过社会工程学获取应用系统访问权限后,必须证明其所获取的信息可以直接被利用并发现后续安全风险,否则一律按照低危第11条或中危第4条之规定进行处理。

    6、测试结果应仅限证明漏洞存在并可被利用(即POC)为止,严禁利用漏洞进行非法操作,包括但不限于:拖库、内网渗透等。