[PSRC-A-20210916] 平安外部漏洞/情报处理规则5.1

编号:
PSRC-A-20210916
作者:
PSRC
发布日期:
2021-09-16
阅读量:
1130


编写人

平安安全应急响应中心(PSRC)

版本号

V5.1

最后更新时间

2021-9-16

适用范围

适用于PSRC平台(security.pingan.com)所收到的漏洞/情报

修订记录

V1.0  2015-07-01 发布第一版

V1.1  2015-08-04 更新评分标准

V1.2  2016-05-06 更新奖励发放细则,提升奖励力度

V2.0  2017-01-12 更新评分标准;提升奖励力度

V3.0  2019-01-24 新增和更新评分范围及标准,新增FAQ

V4.0  2020-02-13 新增威胁情报处理规则

V5.0  2021-1-6 更新评级细则;提升奖励力度

V5.1  2021-9-16 更新评级的标准细则,优化内容

实施日期

2021-09-16

 

一、基本原则

1、平安集团非常重视自身产品和业务的安全问题,我们承诺,每一位报告者反馈的问题都有专人进行跟进、分析和处理,并及时给予答复。

2、平安集团支持负责任的漏洞披露和处理过程,我们承诺,对于每位恪守“白帽子精神”,保护用户利益,帮助平安提升安全质量的白帽子,我们会给予感谢和回馈。

3、平安集团严禁一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取或篡改用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞、暗藏木马后门不完整上报等。

4、平安集团严禁一切利用安全漏洞恐吓用户、攻击竞争对手的行为。

5、提交到PSRC的漏洞禁止以任何形式公开,禁止重复提交到其它第三方漏洞平台,一经发现取消此用户漏洞奖励和其他各种特殊奖励。

6、平安集团认为每个安全漏洞的处理和整个安全行业的进步,都离不开业界各方的共同合作。希望企业、安全公司、安全组织和安全研究者一起加入到“负责任的漏洞披露”过程中来,一起为建设安全健康的互联网环境而努力。

7、请报告者严格遵守《PSRC用户服务协议》、平安SRC漏洞提交规范》、平安SRC安全测试规范》。

 

二、威胁漏洞/情报反馈与处理流程

注册登录

漏洞/情报报告者,请先注册平安一帐通账号,(注册地址:http://security.pingan.com/submit),并使用该账号登录平安安全应急响应中心(以下简称PSRC)、完善个人信息,并完成实名认证。

注意:PSRC要求报告者必须实名注册。

漏洞提交

漏洞/情报报告者登录PSRChttp://security.pingan.com/),提交漏洞/情报。

处理阶段

PSRC工作人员确认收到漏洞/情报报告并开始评估、处理问题、给出结论(必要时与报告者沟通确认,请报告者予以协助)。

修复阶段

1、业务部门修复漏洞/情报并安排更新上线。修复时间根据问题的严重程度及修复难度而定,APP客户端漏洞/情报受版本发布限制,修复时间根据实际情况确定。

2、复查漏洞/情报(必要时与报告者沟通确认,请报告者予以协助)。

3、PSRC完成漏洞/情报处理后,更新漏洞/情报处理状态为【已修复】。

奖励发放

漏洞奖励将以积分的形式发放,报告者可在PSRC平台个人中心处查看积分并申请提现。奖励发放一般在提交漏洞后的下个月上旬。如遇假期等特殊事件结算日期往后顺延。


三、评级奖励标准细则

PSRC漏洞情报主要包含两大部分的内容:业务漏洞和安全情报。下面分别说明其评级标准。


3.1 业务漏洞奖励标准

依据漏洞危害程度,漏洞等级分为严重、高、中、低、无影响五个等级。PSRC结合利用场景中漏洞的严重程度、利用难度、业务范围等综合因素给予相应的漏洞奖励,包含常规漏洞奖励、季度奖励、最具价值漏洞奖励和团队奖励。

各等级包含的奖励标准及漏洞类型(同一等级内漏洞和情报优先级不分先后)如下:

风险等级

业务范围

漏洞奖励(元)

严重

官网宣传业务

5000-8000

高危

集团业务

2000-4000

中危

集团业务

600-1000

边缘

200-600

低危

集团业务

100-200

边缘

50

无危害

所有

0

*严重漏洞和情报原则上仅限官网宣传业务可评,非官宣业务但漏洞或情报影响巨大,需内部评估通过后可升级为严重漏洞。

*边缘业务最高评级为中危。

*集团业务评级高、中、低风险的,若业务在官网宣传业务中有列举的奖励相对偏高,反之偏低。


3.1.1 业务范围

官网宣传业务

网站地图(http://www.pingan.com/homepage/sitemap.html

移动平安(http://www.pingan.com/mobile/index.shtml)含APP、移动网站和微信公众号

*其中已经声明下线的业务除外

边缘业务

平安集团的测试和开发环境的业务。

平安集团旗下公司的全资子公司产品和业务,平安集团旗下公司的分公司产品和业务。

与平安集团有合作的产品和业务,视合作程度、开发运营负责方、资产管辖权等而定,漏洞修复时限无约束。平安集团不可控的业务漏洞不予受理。

平安集团旗下的微信公众号(非移动平安列举范围),且其内容为宣传推广并不涉及业务数据的业务。

非平安集团业务,但平安集团是该业务的用户,原则上不予受理,若漏洞对平安集团影响较大可受理。

集团业务

除边缘业务外,属于平安集团旗下的所有业务,集团业务包含官网宣传业务。


3.1.2 漏洞等级评定标准

风险等级

漏洞示例

严重

1、可获取系统权限的漏洞,包括但不限于任意代码执行、任意命令执行、SQL 注入获取核心系统权限、上传Webshell并可执行等;

2、生产业务系统严重的逻辑设计缺陷,包括但不限于账户、支付方面的安全问题,如任意账号登录、任意账号密码修改、任意账号资金消费、可带来巨大经济损失的支付问题;

3、严重级别的敏感信息泄露。包括但不限于核心系统SQL注入漏洞、导致能获取特大量用户三种敏感字段及以上敏感数据的接口引发的信息泄露等。

高危

1、高风险的信息泄露漏洞,包括但不限于DB的SQL注入漏洞,泄露用户账户支付相关信息泄露,核心功能的源代码泄露(含算法,重要业务逻辑等),泄露用户隐私信息等;

2、敏感信息越权访问,包括但不限于能够越权批量访问其他用户敏感信息、应用后台弱密码可查看用户敏感信息、能通过泄露的token/session登录系统或通过泄露的接口获取高风险敏感信息的springboot未授权访问等;

3、越权执行敏感操作,包括但不限于绕过认证直接访问管理后台可操作、重要功能处可增删改任意用户敏感信息或状态的交互越权行为等;

4、大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS和涉及交易、资金、密码的漏洞;

5、能直接访问平安内网且可获取回显的SSRF漏洞;

6、访问任意系统文件的漏洞,包括但不限于任意文件包含、任意文件读取、任意文件删除等。

中危

1、普通信息泄露,包括但不限于包含服务器或数据库敏感信息的源代码压缩包下载、springboot未授权访问敏感端点信息等;

2、普通的逻辑缺陷和越权,包括但不限于一般功能的越权行为和设计缺陷、可越权访问少量用户敏感信息、以及对经济价值影响较小的漏洞;

3、需交互才能获取用户身份信息的漏洞,包括但不限于敏感操作的CSRF,json hijacking、可造成严重危害的存储型XSS、需要用户点击的WebView组件漏洞等;

4、弱验证机制引发的漏洞,包括但不限于帐户相关暴力破解并且可成功登录等漏洞;

5、能直接访问平安内网但无回显的SSRF漏洞;

6、重要功能的CSRF,包括但不限于可交互修改他人密码、删除重要信息等。

低危

1、可被利用于钓鱼攻击的漏洞,包括但不限于URL重定向漏洞等;

2、轻微信息泄露:服务器敏感信息的日志文件下载、客户端明文存储密码;

3、提供poc但难以利用的安全隐患。包括但不限于可能引起传播的self-xss、不能引起较大危害的存储型XSS、反射型XSS(包括反射型DOM-XSS,Flash型XSS)等;

4、无法获得数据的SQL注入漏洞;

5、一般信息泄露漏洞:包括但不限于SVN文件泄露、LOG文件泄露、Phpinfo等;

6、存在越权,但利用难度较大的漏洞,包括但不限于参数无规律且无法通过其他途径获取的越权漏洞等;

无危害

1、不涉及安全问题的BUG,包括但不限于产品功能缺陷、页面乱码、样式问题;

2、无法利用的漏洞,包括但不限于难以利用的self-xss、非敏感操作的CSRF、用户弱口令、无敏感信息的json hijacking、无意义的源码泄露、内网ip地址/域名泄露、后台信息泄漏、路径信息泄露、TFS信息泄露、网站路径泄露、不能解析的任意文件上传、没有实际意义的扫描器漏洞报告、无敏感信息的svn文件/phpinfo/logcat等等;

3、不能重现的漏洞,包括但不仅限于PSRC工作人员确认无法重现的漏洞;

4、运营预期之内或无法造成资金损失的问题,包括但不限于使用多个账号领取小额奖励的正常业务活动;

5、移动端:

不涉及安全问题的bug。包括但不限于产品功能缺陷、页面乱码、样式混编、静态文件目录遍历、应用兼容性等问题等;

无实际意义的漏洞。 包括但不限于无意义的打印,没有实际意义的扫描器漏洞报告(如:硬编码、无混淆,Activity组件劫持、未加固/脱壳反编译、Janus签名绕过等);

实际业务需要配置的有风险的权限但是无法利用的漏洞;

无法重现的漏洞、不涉及敏感信息的信息泄露、不能直接体现漏洞的其他问题。包括但不限于纯属用户猜测的问题;

低影响的本地DoS攻击;

6、PC端:无利用价值的Crash等。


3.2 安全情报奖励标准

安全情报是指平安的产品和业务漏洞相关的情报,包括但不限于漏洞线索、攻击线索、攻击者相关信息、攻击方式、攻击技术、造成危害等。由于情报分析调查的时间较长,因此确认周期相比漏洞的时长较长,请耐心等待


3.2.1 情报等级评定标准

安全情报评级由PSRC结合业务等级、实际影响和情报线索完整度等综合因素给予相应的情报奖励。依据情报危害程度,情报等级分为严重、高、中、低。

漏洞等级

情报示例

严重

1、针对官宣业务系统的的入侵情报,如核心服务器的入侵且提供了入侵方式等相关线索。

2、重要业务数据库被拖取且提供了数据库名或数据库文件等相关线索。

3、对核心业务造成重大影响的威胁组织活动情报。如:保单信息大规模贩卖等。

高危

1、对非官宣系统的入侵情报,能够帮助PSRC对入侵事件溯源分析、定位攻击者身份。

2、对有组织有计划的骗保、骗贷等行为提供相关线索。

3、对利用业务规则缺陷大规模低价购买行为等事件提供相关切实线索。

4、核心代码仓库源代码泄露,如:泄露核心系统完整代码,可外网连接的数据库账号密码等

 

中危

1、针对平安集团的新型攻击技术、工具及平台等。如:漏洞利用工具等。

2、一般风险的业务安全问题。如营销活动作弊、业务规则绕过。

3、对有针对性的刷积分、作弊、绕过现有认证或者流程的事件提供相关线索。

低危

1、平安集团核心业务相关的钓鱼网站。

2、平安集团核心业务仿冒APP。

3、泄露了10-100条敏感信息的网盘、文库等。

4普通代码仓库源代码泄露,如少量敏感信息泄露、部分可利用接口代码、测试环境代码等。

无危害

1、不能证实、或人为制造的等虚假或无效威胁情报。

2、PSRC已知或不具实效性的威胁情报。

3、提交可能薅羊毛、套现的QQ群号,且未提供其他有效信息。

4、运营预期之内或无法造成资金损失的问题,包括但不限于使用多个账号领取小额奖励的正常业务活动

5提交可能售卖用户数据的暗网地址,且未提供其他有效信息。


3.2.2 情报收集范围

A. 技术情报(包括但不限于)

1、系统、服务器或设备被入侵且提供了行为方式等相关线索;

2、重要业务数据库被拖取且提供了数据库详细信息,如数据库名或数据库文件等相关线索;

3、严重的金融逻辑漏洞,如支付类逻辑漏洞等相关线索;

4、新型病毒、木马、蠕虫传播且提供了源链接等相关线索;

5、用户敏感信息大规模被窃取且提供了攻击代码、利用工具等关相关线索;

6、能够帮助完善防御系统的新型攻击方式、技术,如新型 WebShell、DDoS等攻击方式;

7、代码仓库信息泄露,如github、码云、网盘、文库等。

B. 业务情报(包括但不限于)

1、对有组织有计划的骗保、骗贷等行为提供相关线索;

2、对大批量的注册小号、薅羊毛、套现等行为提供相关线索;

3、对利用业务规则缺陷大规模低价购买行为等事件提供相关线索;

4、对有针对性的刷积分、作弊、绕过现有认证或者流程的事件提供相关线索;

5、对有组织有规模的盗取和售卖用户数据等行为提供相关线索。

C. 无效情报(包括但不限于)

无效情报是指错误、无意义或根据现有信息无法调查利用的威胁情报

1、提交已发现或失效的情报;

2、提交虚假捏造或人为制造的情报信息;

3、提交可能薅羊毛、套现的QQ群号,且未提供其他有效信息的;

4、提交可能售卖用户数据的暗网地址,且未提供其他有效信息的;

5、提交接码群、羊毛群群主的截图和售卖的羊毛工具,但未切身证实可利用的。


3.2.3 情报报告标准

情报报告必须经过情报提交者的验证和复现并提供相关证明材料(不限于复现截图和视频)用于证明威胁情报真实有效;情报提供者需写清楚事实依据,同时应该反馈详细复现信息包括但不限于复现行为开始时间,复现行为结束时间,复现结果和结果证明,复现账号和ID等。未能主动证明真实性的情报将按照无效情报处理。

情报报告的完整性对情报的价值体现有着重要的影响,情报线索清晰、完整有助于工作人员快速定位、验证和跟踪威胁情报。上报情报时,请参考如下标准:

情报标题

简单扼要概括情报内容

情报来源

声明情报来源,如社交群、论坛、网站等并提供相关链接及截图证明

情报内容

何种人群在何时何地出于何种目的通过何种行为对何种业务造成何种危害或损失,如威胁情报组织信息、造成威胁的手段方法、情报涉及的系统和业务信息等并提供相关截图证明

数据证明

提供复现视频或截图,以及情报相关数据真实性证明,如10-20条相关数据样本、攻击代码、攻击工具、危害证明截图等


四、奖励及发放


4.1 常规奖励

常规奖励是对单个漏洞/情报根据奖励标准进行现金奖励,由PSRC指定第三方负责报税及发放。


4.2 季度奖励

为了鼓励漏洞/情报报告者提交高质量漏洞/情报,PSRC每季度单独设置3个额外特殊贡献奖励,如下:

奖项

奖励

第一名

10000

第二名

5000

第三名

3000

 *季度奖励金额为税后金额,由PSRC指定第三方


入围条件 *季度奖励金额为税后金额,由PSRC指定第三方负责报税及发放。

A. 当季度必须提交至少3个有效高危漏洞/情报1个有效严重漏洞/情报,如无符合条件者,此奖项可为空。

B. 当季度提交的漏洞/情报中,按严重、高危、中危排序,严重漏洞/情报数多者排名优先,依此类推,各等级漏洞/情报数量相同则排名一致,季度排名一致的白帽子均分相应名次所得奖金。


4.3 最具价值漏洞奖励

本项奖励每年度评选一次。

凡是已经确认的有效漏洞所影响的系统为官宣业务且漏洞等级为严重,根据漏洞对业务产生的实际危害,对漏洞进行二次综合评定,选出对平安安全提升最大的最具价值漏洞,除常规漏洞奖励之外,视情况额外奖励5-8万元人民币。


4.4 团队奖励

为感谢各安全团队对PSRC的关注与支持,PSRC推出年度优秀安全团队奖励计划,具体如下:

团队等级

白银

黄金

铂金

钻石

奖金总数

≥20000

≥60000

≥120000

≥200000

团队人数

≥ 3

≥ 5

≥ 5

≥ 5

高危漏洞数

≥ 6

≥ 10

≥ 15

≥ 20

荣誉奖励

定制奖杯

定制奖杯

定制奖杯

定制奖杯

A. 以上数据均为年度数据,每年度结算一次,若当年无上榜的安全团队,则奖项自动空缺;

B. 对于“白银”队安全团队称号,需有三名以上队员出现在年度英雄榜,且团队成员提交的漏洞/情报中至少有六个高危漏洞/情报,团队总奖金需大于20000;

C. 对于“黄金”队安全团队称号,需有五名以上队员出现在年度英雄榜,且团队成员提交的漏洞/情报中至少有十个高危漏洞/情报,团队总奖金需大于60000;

D. 对于“铂金”队安全团队称号,需有五名以上队员出现在年度英雄榜,且团队成员提交的漏洞/情报中至少有十五个高危漏洞/情报,团队总奖金需大于120000;

E. 对于“钻石”队安全团队称号,需有八名以上队员出现在年度英雄榜,且团队成员提交的漏洞/情报中至少有二十个高危漏洞/情报,团队总奖金需大于200000;

F. 荣誉奖杯以团队为单位发放(即一个团队一个奖杯),将由PSRC年终颁给队长。

 

PSRC安全团队:

A. 每个团队成员如需申请创建/加入/变更PSRC安全团队,需发送团队名称,团队负责人联系方式等信息到pub_sec@pingan.com.cn邮箱,PSRC将进行团队审核与分配。一旦加入团队,3个月内不得变更或退出。

B. PSRC每个安全团队人数应不超过10人,现团队中,超过10人的,由队长决定拆分成两个或多个队伍。

C. 对于外面已存在的团队名称,PSRC将对团队的所有权持谨慎态度,原则上需要相关团队leader授权,最终解释权归PSRC所有。


4.5 奖励发放

漏洞奖励将以积分的形式发放,报告者可在PSRC平台个人中心处查看积分并申请提现。

提现时间:白帽子可在每月的最后一个工作日前完成提现,逢节假日等特殊情况会另外通知。

处理时间:PSRC白帽子申请提现时,请按照提示上传个人身份证及银行卡信息。为保障广大白帽子们的利益,PSRC将于每月的第一个工作日统计上月申请提现的个人信息,提交打款。逢节假日等特殊情况会另外通知。

到账时间:一般为每月上旬到账,最终金额到账时间以银行为准,请大家耐心等待,感谢理解。


五、评级标准通用原则

1、本原则仅适用于可威胁到平安集团产品和业务相关的漏洞/情报,与平安集团完全无关的情报将不收取。对平安业务安全无影响的威胁情报,不计分。

2、对于非平安直接参与运营的产品和业务或是平安云外部租户的应用漏洞/情报,均不收取。

3、请漏洞/情报报告者严格按照《平安SRC漏洞提交规范》(附录1)提交漏洞/情报报告,所有漏洞/情报需提供利用条件的来源和证明,包括但不限于:

a. 在漏洞测试过程中用到账号登录,但账号来源不是通过注册获得的,需要提供所用账号密码及账号密码的来源,否则将扣除该漏洞奖励;

b. 接口类URL上的漏洞需提供该接口的来源以及调用此接口的页面URL,如果是爆破所得,需在报告说明爆破时间、爆破IP及爆破方法,否则仅给对应漏洞级别的最低漏洞奖励;

c. 对于其他类型漏洞,未提供漏洞利用条件的来源和证明的,都仅给对应漏洞级别的最低漏洞奖励。

4、所有漏洞报告需提供漏洞利用过程的详细信息,包括但不限于:域名,详细URL、poc代码或截图或视频、数据证明等,如有漏洞利用工具,请提供利用工具名称,经过验证切实可用并造成相应危害的才收取。您提交漏洞/情报报告的规范性可能会影响最终评级,漏洞/情报证明清晰的适当增加奖励,反之适当降低奖励。

5、漏洞/情报重复或类似:

a. 在PSRC站点提交相同漏洞/情报,第一个报告者获得奖励,后续报告者不得奖励;

b. 在其他平台已经提交过的漏洞/情报,同一个人或其他人再提交到PSRC的漏洞/情报忽略处理;

c. 通用型漏洞(同一个漏洞源产生的多个漏洞)一般计漏洞数量为一个,若提交多个漏洞,第一个漏洞正常评级,其余漏洞降级或忽略处理。例如同一个JS引起的多个XSS漏洞;同一个发布系统引起的多个页面的XSS漏洞;底层框架导致的整站平行权限和存储型XSS/CSRF漏洞;同一个url多个参数SQL注入;同一域名下同一组件产生的多个XSS漏洞或其他漏洞的相同问题等;

d. 服务器某一配置、应用框架某一全局功能、同一文件或模板、泛域名解析等引起的多个问题,请按同一漏洞提交,若提交多个漏洞,第一个漏洞正常评级,其余相似漏洞降级或忽略处理;

e. 相同业务的同一个功能处的添加、编辑、删除等操作都出现同类型漏洞(例如平行权限)时,请按同一漏洞提交,若提交多个漏洞,第一个漏洞正常评级,相似漏洞降级或忽略处理。

f. 前后关联漏洞合并处理,第一个漏洞按打包后正常评级,其他漏洞无影响处理,web不同域名,但经确认为内部同个子系统的该类漏洞

6、通用型漏洞,如struts、weblogic出现新漏洞,首位附poc报告者得漏洞对应等级最高奖励,报告时间1个月内其他该漏洞引起的问题忽略处理,1个月后如仍存在该问题则按漏洞对应级别收取。

7、对于第三方SDK/第三方库导致的客户端漏洞(包括PC和移动端),且可以通过升级或者更换第三方SDK/第三方库可完成修复的漏洞,仅收取第一个报告的漏洞。若3个月后还发现存在此漏洞,可再次提交。

8、对于移动终端系统导致的通用型漏洞,比如webkit的uxss、代码执行等,仅收取第一个报告的漏洞,对于其他产品的同个漏洞报告,均不再另外收取。

9、用于测试上传的webshell文件命名必须包含PSRCTEST,测试用webshell不能含有远控、数据传输、文件浏览等功能(建议用print ***),以免造成不必要的麻烦。PSRC对上传真实webshell的漏洞做降级处理。

10、对内部已经发现并在处理的漏洞/情报,做忽略处理,PSRC审核员不会随意忽略外部安全人士提交的漏洞/情报。

11、漏洞/情报报告者在PSRC宣布修复后,复查漏洞/情报时如果发现漏洞/情报仍然存在或未修复好,可再次提单反馈漏洞/情报。

12、拒绝无实际危害证明的扫描器结果,此类报告将被忽略处理。

13、涉及到与平安安全的漏洞/情报,禁止未经平安授权,私自公开漏洞情报的行为,一旦发现严肃处理,包括取消奖励、禁用账户等。

14、以安全测试为借口,利用漏洞/情报信息进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的,将不会收取,同时平安保留采取进一步法律行动的权利。

本标准所有内容最终解释权归PSRC所有。


特别提醒

1. 对平安集团员工,负责安全的专业人员提交自己所负责专业公司或分公司的安全漏洞/情报不予奖励。

2. 集团性质的安全组织人员禁止在PSRC上提交漏洞/情报兑换奖励。

3. 平安专业公司可提交非本公司的安全漏洞,但不参与PSRC年度、季度、最具价值漏洞等其他奖励评选,并需要将账号信息同步到PSRC审核处进行报备。


六、FAQ

Q1:PSRC上漏洞奖励提现后多久可以到账?

A:一般为每月上旬到账,最终金额到账时间以银行为准,请大家耐心等待,感谢理解。

Q2:PSRC有没有先“忽略”漏洞/情报之后偷偷修复情况?

A:绝对不会。提交的“漏洞/情报”一旦进入“忽略”状态,审核会在备注中说明具体的忽略理由。当然也有可能由于业务本身的变动导致漏洞/情报不再存在,但无论如何,PSRC都不会“偷偷”修复。

Q3:平安哪些业务可以进行安全测试,有哪些问题需特别注意?

A:对平安业务进行安全测试前,请认真阅读《PSRC用户服务协议》。

 

争议解决办法

在漏洞/情报处理过程中,如果报告者对处理流程、漏洞/情报评定、漏洞/情报评级等具有异议的,可与我们联系,联系方法:

1、发送消息至平安安全应急响应中心微信公众号

2、发送邮件至邮箱:pub_sec@pingan.com.cn

平安集团安全应急响应中心将根据漏洞/情报报告者利益优先的原则进行处理,必要时可引入外部人士共同裁定。

 

附录1:《平安SRC漏洞提交规范

https://security.pingan.com/announcement/102.html


附录2:《平安SRC安全测试规范

https://security.pingan.com/announcement/112.html

欢迎社会各界向我们反馈平安集团所有产品和业务的安全问题,更多信息可见报告漏洞