中兴通讯web应用系统安全奖励计划

更新日期：2022.1.27

本计划包括中兴通讯股份有限公司及控股≥50%的子公司的所有资产。

1. 漏洞奖励和评级标准

1.1 漏洞奖励

根据漏洞危害程度分为【严重】、【高危】、【中危】、【低危】四个等级，每个等级奖励如下：

1.2 漏洞评级标准

【严重】

1）直接获取资产的操作系统权限，包括但不限于任意命令执行、多途径Getshell、远程代码执行、缓冲区溢出等；

2）直接导致大量用户个人隐私信息泄露或公司涉密信息的漏洞，包括但不限于SQL注入(不包括撞库与爆破)；

3）通过虚拟机逃逸获取宿主机命令执行权限的漏洞。

4）可以导致内网漫游的漏洞。

【高危】

1）直接导致大量信息泄露的漏洞，如一般业务系统SQL注入；

2）获取目标系统管理员的登录信息且利用此登录信息成功登录管理后台或导致蠕虫影响大量用户的存储型XSS漏洞；

3）直接导致较严重影响的逻辑漏洞，包括但不限于任意帐号密码更改、获取管理后台操作权限、批量获取业务敏感信息等；

4）越权访问，包括但不限于绕过认证访问后台、获取仅能管理员才可以下载的文档；

5）获取数据库连接信息导致数据库被拖库的任意文件读取漏洞；

6）可直接访问或调用内部重要服务或接口的漏洞；

7）导致核心系统拒绝服务攻击或宕机、蓝屏的漏洞；

8）一般业务系统命令执行、getshell、缓冲区溢出、管理员弱密码等获取系统权限的漏洞；

9）上传文件可被解析执行的任意文件上传漏洞。

【中危】

1）需要用户交互方可获取用户敏感数据的漏洞，如可获取用户信息的反射型XSS、一般页面的存储型XSS等；

2）仅可造成非业务敏感数据泄漏的逻辑漏洞或越权漏洞；

3）可绕过安全控制产生大量垃圾数据且影响正常用户使用的漏洞；

4）可更改系统或应用系统日志的漏洞；

5）任意文件读取漏洞或无法造成严重影响的XXE漏洞；

6）druid或swagger UI等泄露接口信息或数据库查询信息的未授权访问漏洞；

7）可滥用一般业务或篡改非核心数据的漏洞；

8）核心业务页面的CSRF漏洞；

9）数据量较少且无法直接获取系统权限的SQL注入漏洞。

10）无法绕过双因素认证机制的员工弱密码。

【低危】

1）可绕过短信或图形化验证码爆破账户的漏洞；

2）不可任意获取数据库数据的SQL注入漏洞；

3）轻微的信息泄露漏洞如网站目录遍历、IIS短文件名、SVN信息泄露、安全日志泄露、phpinfo、tomcat样例文件泄露、Django开启debug模式、workspace.xml文件泄露等漏洞。

1.3 不予奖励范围

1）在奖励计划所列资产以外的漏洞不奖励（对影响较大的漏洞可例外评估）；

2）与安全无关的软件缺陷，如网页无法打开、网页乱码、网页响应变慢，使用代理池等技术通过更改限制对象从而绕过认证验证限制等；

3）多人或同一人提交重复的漏洞，最先提交并清晰表述、重现此漏洞报告者视为有效，其他不奖励；提交网上已公开漏洞不奖励；

4）影响中兴通讯Web应用系统的开源及第三方漏洞不奖励（对影响较大的漏洞可例外评估，奖励额度低于同级别原创漏洞）；

5）任何非敏感信息泄露，如网站代码异常信息泄露、内网IP地址泄露、邮箱地址泄露、tomcat样例文件泄露；

6）上传文件无法解析的任意文件上传漏洞；

7）仅可证明漏洞存在但利用方式未公布或无法直接利用的漏洞；

8）通过版本比较认为漏洞存在但无法给出漏洞利用证明；

9）无实际危害证明的扫描器结果；

10）仅可遍历网站静态文件的漏洞；

11）DDoS、点击劫持、web应用未开启https、邮箱轰炸、注册用户弱密码等漏洞；

12）使用复杂方式造成钓鱼效果的不安全编码问题；

13) 任意用户注册漏洞； 

14) 通过修改url导致重定向到其他域名的任意URL跳转漏洞；

15）无法获取敏感信息或权限的反射型XSS与CSRF漏洞；

16）会话固定漏洞；

17）论坛刷赞、获取论坛虚拟币、提升虚拟积分等不会造成严重影响的逻辑漏洞；

18）仅可造成注册用户可以访问的数据泄漏的逻辑漏洞或越权漏洞等。

2. 报告要求

为了便于验证和定位漏洞，漏洞报告应包含该漏洞的详细说明和完整的POC或Exploit。

2.1 报告描述要求

1）漏洞描述，需要包含漏洞类型、产生原因、利用方式、漏洞可能造成的安全风险等；

2）受影响的域名和具体的漏洞位置；

3）描述复现所需的详细步骤，采用文字、截图、图形等方式，按步骤详细阐述复现过程（推荐提交漏洞复现视频）。

2.2 POC或Exploit要求

1）提供完整可编译的POC或Exploit，可使用POC或Exploit成功验证提交的漏洞；

2）编译和运行环境说明，需包括：编译器名称，编译器版本，编译选项以及操作系统版本等必要信息；

3）POC或者Exploit的运行结果应该与报告描述一致。

请确保上报的报告不涉及知识产权问题，不包含法律或宗教所禁止的内容。

由于安全漏洞属于敏感信息，强烈建议使用中兴通讯的PGP公钥（key ID：FF095577）进行加密，直接发送到psirt@zte.com.cn。

3. 法律信息

参与中兴通讯漏洞奖励计划并上报漏洞不能涉及以下违规行为：

1）您只能利用、调查或攻击您自己的帐户、设备的漏洞；

2）您的测试活动不能对中兴通讯的产品和服务的性能或可用性造成负面影响，不能中断在线业务，不能攻击中兴通讯内部或外部服务器，也不应造成数据或物理资产的损坏；

3）测试过程中不应下载业务敏感数据，包括但不限于源代码、用户个人资料等，不得以任何方式使用、披露、存储或记录该信息；若存在不知情的下载行为需及时反馈说明并删除文件；

4）未经中兴通讯事先书面同意，禁止对外披露关于中兴通讯产品或服务安全漏洞的任何细节信息（这包括除您之外的任何第三方）；

5）提交SQL注入或越权等可获取数据的漏洞，所获取的数据不得超过5条；

6）不得通过软件或者工具自动扫描产生大量数据流量；

7）不得通过钓鱼、社工等手段进行入侵尝试； 

8）不能故意制作，传播计算机病毒等恶意程序；

9）不能侵犯任何第三方权利（包括知识产权）；

10）您不得是中兴通讯股份公司及子公司员工、外包员工或承包商，您也不得是员工、外包员工或承包商的直系亲属。

4. 奖励发放

1）符合条件的漏洞奖励100元~10000元不等。每个漏洞将根据漏洞的严重级别、攻击复杂度、影响范围和报告的详细程度进行奖励；

2）通过中兴通讯企业银行账户支付漏洞奖励。为完成奖励支付，我们需要收集您的国籍、所在城市、真实姓名、手机号码、身份证号码、家庭或公司地址、银行卡号及其开户行名称和银行SWIFT代码等必要信息。我们向您承诺收集这些信息只用于支付漏洞奖励，不会用作其他用途；

3）为了遵从适用的税务相关法律要求，中兴通讯在给您支付奖金时已经代扣代缴了个人所得税。

5. 解决争议办法

在漏洞处理过程中，如果报告者对处理流程、漏洞评定、漏洞评分等存在异议，请发邮件至：psirt@zte.com.cn，将有工作人员和您沟通。

6. 其他

1）我们将会定期更新纳入奖励范围的产品/服务清单；

2）与安全漏洞无关问题将不会被答复和处理，节假日期间的响应时间会有所顺延； 

3）本漏洞奖励计划自发布日期起生效；漏洞严重级别、奖励金额和支付过程完全由中兴通讯决定；我们还可以随时停止奖励计划；

4）中兴通讯PSIRT对以上所有条款具有最终解释权。

7. 修订记录

V1.0  2020.9.19    初始发布

V1.1  2020.10.30  更新漏洞奖励章节

V1.2  2020.11.16  更新漏洞奖励范围  

V1.3 2021.3.16     更新漏洞评级标准

V1.4 2021.4.19     更新漏洞评级标准

V1.5 2022.1.27     更新漏洞奖励、漏洞评级标准、不予奖励范围、法律信息