蚂蚁集团非常重视自身产品和业务的安全问题，我们深知，挖掘漏洞需要付出宝贵的时间和精力。我 们承诺，对每一位报告者反馈的问题都有专人进行跟进和处理，并及时给予答复。同时，对于帮助蚂蚁集团提升安全质量的用户，我们将给予您感谢和回馈。

致谢：所有对这个标准给出建议的帽子

如果您对本流程有任何的建议，欢迎发送邮件至antsrc@service.alipay.com向我们反馈。建议一经采纳，AntSRC 会送出专属定制礼品。

评分标准

蚂蚁金币 = 基础蚂蚁金币 * 应用系数

基础蚂蚁金币：严重110-130金币、高危漏洞40-60金币、中危漏洞5-15金币、低危漏洞1-4 金币

应用系数：核心应用10、一般应用4、边缘业务1

严重

1. 直接获取核心服务器权限漏洞，包括但不限于内存破坏、直接上传WEBSHELL、利用逻辑缺陷任意加载 远程代码 等可利用的远程代码执行漏洞。

2. 核心敏感数据信息泄露漏洞，包括但不限于系统权限控制不严格等导致的敏感数据泄露漏洞。
   

3. 核心业务的逻辑漏洞，能够大量获取利益造成公司、用户损失的漏洞，包括但不限于账密校验逻辑、核心数据接口验证逻辑、支付逻辑漏洞等。
   

4. 可以直接命令执行的SQL注入漏洞；核心DB（资金、身份、交易相关）利用难度低的 SQL 注入，可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露。

高危

1. 直接获取普通服务器或客户端权限漏洞，包括但 不限于内存破坏、逻辑权限等可利用的远程代码执行漏洞。
   

2. 重要敏感数据信息泄露漏洞，包括但不限于重要用户信息、订单信息、数据文件信息等。
   

3. 本地代码执行漏洞，包括但不限于内存破坏、类型混淆、整数问题等导致的可利用本地代码执行漏洞。

4. 不需交互导致的重点业务漏洞，包括但不限于存储XSS、文 件遍历、参数处理不当导致的远程拒绝服务漏洞。

5. 核心业务的逻辑漏洞，能够有限获取利益造成公司、用户损失的漏洞。

6. 核心DB（资金、身份、交易相关）利用难度高的 SQL 注入，无法直接获取大量敏感数据。非核心DB（不包含用户身份、资金、交易相关，只有业务数据）利用难度低的SQL注入，可以获取大量业务数据的漏洞。

中危

1. 需交互才能对用户产生危害的安全漏洞、包括但不限于反射XSS、json劫持、CRLF、敏感操作的CSRF等。

2. 普通信息 泄露漏洞、包括但不限于非个人登陆后泄露的手机号、姓名、交易号等个人信息。

3. 远程拒绝服务漏洞，包括但不限于攻击接口、页面、组件导致的拒绝服务等。

4. 非核心业务的逻辑漏洞，包括但不限于组件导出、权限控 制不当导致的 泄露问题、重定向漏洞等。

5. 存储xss不能影响全量用户或不能提供输入点的或独立域名有httponly防护的应用
   

6. 一般风险的业务安全问题。如营销活动作弊、业务规则绕过

7. 非核心DB（不包含用户身份、资金、交易相关，只有业务数据）利用难度高的SQL注入，不可直接获取大量业务数据。

低危

1. 在特殊条件下才能获取用户信息的安全漏洞，包括但不限于特定浏览器下 的反射XSS、存储XSS。

2. 基本无影响的信息泄露漏洞，包括但不限于服务器物理路径、phpinfo、边缘系统文件、本地日志等。

3. 本地拒绝服务漏洞，包括但不限于PC端、 移动端本地组件、进程的拒绝服务。

4. 可能存在安全隐患但利用成本很高的漏洞，包括但不限于特殊情况下 的中间人攻击、需要用户连续交互的敏感操作安全漏洞。
   

5. 低风险业务安全问题。如恶意注册、违规违禁、商户欺诈，套现等

6. 越权低危情况：A、攻击门槛较高 B、无敏感信息 C、用户无感知，非重要功能

无影响

1. 安全无关的产品BUG，包括但不限于产品体 验或设计不好、非安全漏洞导致的服务无法访问等。

2. 无法利用或无危害的“漏洞”，包括但不限于恶作剧CSRF（对用户无实际影响）、无法影响他人的本地拒绝服务 、Self-XSS、非敏感信息泄露（内网IP、域名）等。

3. 无任何证据的猜测、包括但不限于支付宝付款不扣款、支付宝账户被盗等；非蚂蚁集团产品的安全漏洞。
   

4. 蚂蚁集团及关联公司的SRC数据泄露类事件。
   

不受理的内容：

A、蚂蚁集团及关联公司开源产品的非安全风险不收。

B、蚂蚁开放平台沙箱环境代码 https://openapi.alipaydev.com/gateway.do ，与开放平台正式环境的区别是域名为alipaydev，非alipay。

C、无明显信息可以定位为蚂蚁集团及关联公司的风险。

D、时效性要求：3年以外的安全事件原则上不再受理，以公开发布时间为准。

5）以下是蚂蚁集团域名，但不属于蚂蚁集团安全响应中心受理范围，请提交给ASRC

yunxiao.cloud.alipay.com；aone.cloud.alipay.com；mall.alipay.com；ynuf.alipay.com；b.antfinancial-corp.com；*.koubei.com

6）以下是阿里集团域名，但属于蚂蚁集团安全响应中心中心收集范围

*.aliloan.com；*.aliloan.cn；baoxian.taobao.com；licai.taobao.com

核心业务

支付宝、芝麻信用、蚂蚁财富、网商银行、蚂蚁小贷、蚂蚁金融云、余额宝、招财宝、蚂蚁花呗

提交流程

报告漏洞

请您详细填写漏洞相关信息并按本标准提交漏洞至security.alipay.com.请您务必对您提交的漏洞进行保密，不向任何第三方透露。如您泄露了漏洞，AntSRC将不会给您蚂蚁金币，已经支付的有权收回。（状态：确认中）

处理漏洞

漏洞提交后24小时内（法定节假日顺延），AntSRC会对收到的漏洞报告进行评估（状态：待确认/安全工程师处理中/已确认/已驳回）：

1、待确认：常规情况下，漏洞提交后24小时内（法定节假日顺延），AntSRC判断漏洞会否存在。

2、已确认：漏洞确认存在，我们正在积极修复漏洞， AntSRC会在漏洞确认后三个工作日内给予评分。请遵守《蚂蚁集团安全应急响应中心保密协议》。

3、已驳回：漏洞不存在或重复上报等，AntSRC将驳回漏洞，并告知驳回理由。

如有需要我们会联系您

争议处理

在漏洞报 告处理过程中，如果报告者对流程处理、漏洞定级、漏洞评分等有异议的，可以在提交记录页面通过“联系客服”及时沟通。AntSRC将按照漏洞报告者利益优先的原则处理，必要时可引入外部安全人士共同裁定。

注意事项

1、 恶意报告者将作封号处理

2、 报告无关问题的将不予答复

3、 蚂蚁集团和阿里巴巴集团员工不得参与或通过朋友参与漏洞奖励计划

4、 奖励计划仅适用于通过AntSRC报告漏洞的用户

5、 漏洞奖励计划最终解释权归AntSRC所有

评分标准

1. 评分标准仅适用于蚂蚁集团产品和业务。与蚂蚁集团完全无关的漏洞，均不计分。

2. 同一个漏洞源产生的多个漏洞计漏洞数量为一；同类型同域名的多个漏洞最多确认3个。例如 PHPwind 的安全漏洞、同一个 JS 引起 的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域 名解析产生的多个安全漏洞等。

3. 各等级漏洞的最终蚂蚁金币数量由漏洞利用难度及影响范围 等综合因素决定，若漏洞触发条件非常苛刻，包括但不限于特定浏览器才可触发 的XSS漏洞，则可跨等级调整贡献值数量。只有在特定非流行浏览器下（例如IE7以及以下版本浏览器），由浏览器本身缺陷导致的XSS ，不在收集范围内；需要关闭浏览器默认XSS防护才能触发的XSS，不在收集范围内。

4. 第三方组件漏洞，如钱包使用到的UC浏览器内核、第三方库等：

a. 如果提交相关基础组件nday漏洞，提交的漏洞 已公开，时间在半年内且蚂蚁集团已知晓该漏洞，则驳回；若蚂蚁集团不知晓该漏洞，或者该漏洞已公开时间超过半年，蚂蚁集团仍未修复，会根据实际攻击演示效果来评估定级，需提供nday具体链接及CVE编号，并 且至少需提供了可利用证明（如poc能证明造成信息泄露、控制pc等）

b. 如果提交相关基础组件0day漏洞，且提供了可利用证明（如poc能证明造成信息泄露、控制pc等）会根据实际攻击演示效果来评估定级。

5. 在漏洞未修复之前，被公开的漏洞不计分，若泄露了漏洞细节，SRC有权收回奖励。

6. 报告网上已公开的漏洞不计分。

7. 同一份报告中提交多个漏洞，只按危害级别最高的漏洞计分。

8. 以测试漏洞为借口，利用漏洞进行损害 用户利益、影响业务运作、盗取用户数据等行为的，将不计分，同时蚂蚁集团保留采取进一步法律行动的权利。

9. 同一漏洞，首位报告者计贡献值，其他报告者均不计；若超过六个月未修复，会根据漏洞实际影响重新定级。