编写人：平安安全应急响应中心（PSRC）

版本号：V5.4

最后更新时间：2025-4-7

适用范围：适用于PSRC平台（security.pingan.com）所收到的漏洞/情报

修订记录：

V1.0 2015-07-01 发布第一版

V1.1 2015-08-04 更新评分标准

V1.2 2016-05-06 更新奖励发放细则，提升奖励力度

V2.0 2017-01-12 更新评分标准；提升奖励力度

V3.0 2019-01-24 新增和更新评分范围及标准，新增FAQ

V4.0 2020-02-13 新增威胁情报处理规则

V5.0 2021-01-06 更新评级细则；提升奖励力度

V5.1 2021-09-15 更新评级的标准细则，优化内容

V5.2 2023-03-29 更新评级的标准细则，优化内容，提升奖励方案

V5.3 2024-06-3 更新评级的标准细则，优化内容

V5.4 2025-04-7更新评级的标准细则，优化内容

实施日期：2025-04-7

一、基本原则

1、平安集团非常重视自身产品和业务的安全问题，我们承诺，每一位报告者反馈的问题都有专人进行跟进、分析和处理，并及时给予答复。

2、平安集团支持负责任的漏洞披露和处理过程，我们承诺，对于每位恪守“白帽子精神”，保护用户利益，帮助平安提升安全质量的白帽子，我们会给予感谢和回馈。

3、平安集团严禁一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益的黑客行为，包括但不限于利用漏洞盗取或篡改用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞、暗藏木马后门不完整上报等。

4、平安集团严禁一切利用安全漏洞恐吓用户、攻击竞争对手的行为。

5、提交到PSRC的漏洞禁止以任何形式公开，禁止重复提交到其它第三方漏洞平台，一经发现取消此用户漏洞奖励和其他各种特殊奖励。

6、平安集团认为每个安全漏洞的处理和整个安全行业的进步，都离不开业界各方的共同合作。希望企业、安全公司、安全组织和安全研究者一起加入到“负责任的漏洞披露”过程中来，一起为建设安全健康的互联网环境而努力。

7、请报告者严格遵守《PSRC用户服务协议》，详见：https://security.pingan.com/homePage/understand/userProtocol

二、威胁漏洞/情报反馈与处理流程

注册登录

漏洞/情报报告者，请先注册平安一帐通账号，（注册地址：https://security.pingan.com），并使用该账号登录平安安全应急响应中心（以下简称PSRC）、完善个人信息，并完成实名认证。

注意：PSRC要求报告者必须实名注册。

漏洞提交

漏洞/情报报告者登录PSRC（https://security.pingan.com），提交漏洞/情报。

处理阶段

1、PSRC工作人员确认收到漏洞/情报报告并开始评估、处理问题、给出结论（必要时与报告者沟通确认，请报告者予以协助）。

2、漏洞报告经确认接收后3天，PSRC接受白帽子提交补充危害，并重新评估定级。逾期补充无效，原报告等级维持不变，补充报告等级为无影响。

修复阶段

1、业务部门修复漏洞/情报并安排更新上线。修复时间根据问题的严重程度及修复难度而定，APP客户端漏洞/情报受版本发布限制，修复时间根据实际情况确定。

2、复查漏洞/情报（必要时与报告者沟通确认，请报告者予以协助）。

3、PSRC完成漏洞/情报处理后，更新漏洞/情报处理状态为【已修复】。

奖励发放

漏洞奖励将以现金的形式发放，报告者可在PSRC平台-个人中心处查看并申请提现。奖励发放一般在提交漏洞后的下个月上旬。如遇假期等特殊事件结算日期往后顺延。

三、评级奖励标准细则

PSRC漏洞情报主要包含两大部分的内容：业务漏洞和安全情报。下面分别说明其评级标准。

3.1 业务漏洞奖励标准

依据漏洞危害程度，漏洞等级分为严重、高、中、低、无影响五个等级。PSRC结合利用场景中漏洞的严重程度、利用难度、业务范围等综合因素给予相应的漏洞奖励，包含常规漏洞奖励、季度奖励、年度奖励和团队奖励。

各等级包含的奖励标准及漏洞类型（同一等级内漏洞和情报优先级不分先后）如下：

*边缘业务最高评级为中危。

*集团业务评级高、中、低风险的，若业务在官网宣传业务中有列举的奖励相对偏高，反之偏低。

3.1.1 业务范围

官网宣传业务

1. 网站地图（http://www.pingan.com/homepage/sitemap.html）

2. 移动平安（https://security.pingan.com/homePage/announcement/242）含APP、移动网站和微信公众号

*其中已经声明下线的业务除外

集团业务

除边缘业务外，属于平安集团旗下的所有业务，集团业务包含官网宣传业务。

边缘业务

1. 平安集团的测试和开发环境的业务。

2. 平安集团旗下公司的全资子公司产品和业务，平安集团旗下公司的分公司产品和业务。

3. 与平安集团有合作的产品和业务，视合作程度、开发运营负责方、资产管辖权等而定，漏洞修复时限无约束。平安集团不可控的业务漏洞不予受理。

4. 平安集团旗下的微信公众号（非移动平安列举范围），且其内容为宣传推广并不涉及业务数据的业务。

5. 非平安集团业务，但平安集团是该业务的用户，原则上不予受理，若漏洞对平安集团影响较大可受理。

3.1.2 漏洞等级评定标准：

严重

1、官网宣传业务可获取系统权限的漏洞，包括但不限于任意代码执行、任意命令执行、SQL 注入获取核心系统权限、上传Webshell并可执行等；

2、官网宣传业务系统严重的逻辑设计缺陷，包括但不限于账户、支付方面的安全问题，如任意账号登录、任意账号密码修改、任意账号资金消费、可带来巨大经济损失的支付问题；

3、严重级别的敏感信息泄露。包括但不限于核心DB（资金、身份、交易相关）利用难度低的 SQL 注入，ID 连续可批量获取大量用户三种及以上敏感字段数据的接口引发的信息泄露等。（用户敏感信息字段如个人生物识别信息、个人身份信息、个人金融财产信息、个人保单信息、个人通信信息、个人位置信息、个人医疗健康信息，员工敏感信息字段如员工身份证号、员工手机号、员工薪酬相关、员工联系地址及家庭联系人）（注：集团业务数量需大于100w，官宣业务需大于50w）

高危

1、可获取系统权限的漏洞，包括但不限于任意代码执行、任意命令执行、SQL 注入获取核心系统权限、上传Webshell并可执行等；

2、系统严重的逻辑设计缺陷，包括但不限于账户、支付方面的安全问题，如任意账号登录、任意账号密码修改、任意账号资金消费、可带来巨大经济损失的支付问题；

3、高风险的信息泄露漏洞，包括但不限于未授权/越权能够批量获取用户、员工三种及以上敏感字段（字段名称同严重），非核心DB的SQL注入，核心功能的源代码泄露（含算法，重要业务逻辑等）（注：集团业务数量需大于1w，官宣业务需大于5000）

4、越权执行敏感操作，包括但不限于绕过认证直接访问管理后台可操作、重要功能处可增删改任意用户敏感信息或状态的交互越权行为等；

5、大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS和涉及交易、资金、密码的漏洞；

6、能直接访问平安内网且可获取回显的SSRF漏洞；

7、访问任意系统文件的漏洞，包括但不限于任意文件包含、任意文件读取、任意文件删除等。

中危

1、普通信息泄露，包括但不限于包含服务器或数据库敏感信息的源代码压缩包下载、springboot未授权访问敏感端点信息、访问任意Web文件或敏感文件的漏洞等；

2、普通的逻辑缺陷和越权，包括但不限于一般功能的未授权/越权行为和设计缺陷、域名劫持、可未授权/越权访问少量用户敏感信息、以及对经济价值影响较小的漏洞；

3、需交互才能获取用户身份信息的漏洞，包括但不限于json hijacking、可造成严重危害的存储型XSS；

4、弱验证机制引发的漏洞，包括但不限于帐户相关暴力破解并且可成功登录等漏洞（验证码类爆破需完整证明）；

5、能直接访问平安内网但无回显的SSRF漏洞；

6、重要功能的CSRF，包括但不限于可交互修改他人密码且可登录、可结合其他类型漏洞进行利用并造成实际危害等。

低危

1、可被利用于钓鱼攻击的漏洞，包括但不限于URL重定向漏洞等；

2、轻微信息泄露：包括但不限于服务器敏感信息的日志文件下载、客户端明文存储密码、 SVN文件泄露、LOG文件泄露、一般配置文件、进入系统后无敏感信息或操作、包含服务器或数据库敏感信息的demo代码等；

3、提供poc但难以利用的安全隐患。包括但不限于不能引起较大危害的存储型XSS、反射型XSS（包括反射型DOM-XSS，Flash型XSS）、需要用户点击的WebView组件漏洞等；

4、无法获得数据的SQL注入漏洞；

5、存在越权，但利用难度较大的漏洞，包括但不限于参数无规律且无法通过其他途径获取的越权漏洞等，如需要通过手机号或姓名等越权且未提供获取途径；不涉及用户信息的越权问题等；

6、短信轰炸、邮箱轰炸（除@pingan.com.cn外，其他域名邮箱需进一步判定）、姓名、身份证、验证接口、爆破等资源消耗类漏洞，需证明大于30条/分钟；

7、低风险逻辑问题，包含但不限于绕过实名提交信息、绕过认证使用默认功能等；

8、登录后台不涉及敏感内容，包含但不限于弱口令、默认口令、测试账号、未认证使用管理功能等。

无危害

1、不涉及安全问题的BUG，包括但不限于产品功能缺陷、页面乱码、样式混编、静态文件目录遍历、应用兼容性等问题；

2、无法利用的漏洞，包括但不限于self-xss、非敏感操作或利用条件苛刻的CSRF、用户弱口令、无敏感信息的json hijacking、无意义的源码泄露、内网ip地址/域名泄露、后台信息泄漏、路径信息泄露、TFS信息泄露、网站路径泄露、不能解析的任意文件上传、没有实际意义的扫描器漏洞报告、无敏感信息的svn文件/phpinfo/logcat、无意义的CORS劫持漏洞等；swagger类接口文档泄露和Spring Actutor非敏感端点、Jaeger UI等不可进一步利用的漏洞。用户枚举、用户昵称、内存信息、中间件版本、jquery版本、复杂交互的URL重定向等。

3、不能重现的漏洞、不涉及敏感信息的信息泄露、不能直接体现漏洞的其他问题，包括但不仅限于PSRC工作人员确认无法重现的漏洞、纯属用户猜测的问题、敏感信息已脱敏、脱敏的数据无法通过其他途径获取；

4、运营预期之内或无法造成资金损失的问题，包括但不限于使用多个账号领取小额奖励的正常业务活动；

5、 无实际意义的漏洞。包括但不限于无意义的打印，没有实际意义的扫描器漏洞报告(如：硬编码、无混淆，Activity组件劫持、未加固/脱壳反编译、Janus签名绕过等)、评估后无实质性危害的问题、图形验证码使用工具识别（如OCR）、腾讯高德API-Key泄露；

6、实际业务需要配置的有风险的权限但是无法利用的漏洞；

7、低影响的本地DoS攻击；

8、无利用价值的Crash等；

9、需要通过爆破攻破高难度字段，如包含6位及以上字符的验证码、密码和认证信息等；

10、测试环境未开启登录认证，包括但不限于短信验证、密码验证、令牌认证等漏洞。

降级或忽略的场景

1、URL跳转类，需要用户登录状态或注册固定域名才能进行跳转的接口,且接口明确用于URL跳转并无其他安全风险；

2、需要用户交互的攻击，如钓鱼攻击需要受害者点击链接、查看消息或打开邮件等；

3、利用场景复杂、仅在极小概率事件中出现，被利用并造成实质性危害的可能性较低；

4、利用条件苛刻，如具有特殊账号权限才能发现和利用的漏洞等；

5、影响有限，业务预期之内的资损问题、风险可控的问题；范围有限，如只有几十个注册用户的系统、旧系统中仅存的少量对业务无实际影响的运维监控数据、测试数据等；

6、利用过程中与其他漏洞有重复环节的漏洞，会降级或合并处理。

3.2 安全情报奖励标准

安全情报是指平安的产品和业务漏洞相关的情报，包括但不限于漏洞线索、攻击线索、攻击者相关信息、攻击方式、攻击技术、造成危害等。由于情报分析调查的时间较长，因此确认周期相比漏洞的时长较长，请耐心等待。

3.2.1情报等级评定标准

安全情报评级由PSRC结合业务等级、实际影响和情报线索完整度等综合因素给予相应的情报奖励。依据情报危害程度，情报等级分为严重、高、中、低。

严重

1、针对官宣业务系统的的入侵情报，如核心服务器的入侵且提供了入侵方式等相关线索。

2、重要业务数据库被拖取且提供了数据库名或数据库文件等相关线索。

3、对核心业务造成重大影响的威胁组织活动情报。如：保单信息大规模贩卖等。

高危

1、对非官宣系统的入侵情报，能够帮助PSRC对入侵事件溯源分析、定位攻击者身份。

2、对有组织有计划的骗保、骗贷等行为提供相关线索。

3、对利用业务规则缺陷大规模低价购买行为等事件提供相关切实线索。

4、核心代码仓库源代码泄露，如：泄露核心系统完整代码，可外网连接的数据库账号密码等。

中危

1、针对平安集团的新型攻击技术、工具及平台等。如：漏洞利用工具等。

2、一般风险的业务安全问题。如营销活动作弊、业务规则绕过。

3、对有针对性的刷积分、作弊、绕过现有认证或者流程的事件提供相关线索。

低危

1、平安集团核心业务相关的钓鱼网站。

2、平安集团核心业务仿冒APP。

3、泄露了10-100条敏感信息的网盘、文库等，需提供平安集团相关联线索。

4、普通代码仓库源代码泄露，如少量敏感信息泄露、部分可利用接口代码、测试环境代码等。

无危害

1、不能证实、或人为制造的等虚假或无效威胁情报。

2、PSRC已知或不具实效性的威胁情报。

3、提交可能薅羊毛、套现的QQ群号，且未提供其他有效信息。

4、运营预期之内或无法造成资金损失的问题，包括但不限于使用多个账号领取小额奖励的正常业务活动。

5、提交可能售卖用户数据的暗网地址，且未提供其他有效信息。

3.2.2情报收集范围

A. 技术情报（包括但不限于）

1、系统、服务器或设备被入侵且提供了行为方式等相关线索；

2、重要业务数据库被拖取且提供了数据库详细信息，如数据库名或数据库文件等相关线索；

3、严重的金融逻辑漏洞，如支付类逻辑漏洞等相关线索；

4、新型病毒、木马、蠕虫传播且提供了源链接等相关线索；

5、用户敏感信息大规模被窃取且提供了攻击代码、利用工具等关相关线索；

6、能够帮助完善防御系统的新型攻击方式、技术，如新型 WebShell、DDoS等攻击方式；

7、代码仓库信息泄露，如github、码云、网盘、文库等。

B. 业务情报（包括但不限于）

1、对有组织有计划的骗保、骗贷等行为提供相关线索；

2、对大批量的注册小号、薅羊毛、套现等行为提供相关线索；

3、对利用业务规则缺陷大规模低价购买行为等事件提供相关线索；

4、对有针对性的刷积分、作弊、绕过现有认证或者流程的事件提供相关线索；

5、对有组织有规模的盗取和售卖用户数据等行为提供相关线索。

C. 无效情报（包括但不限于）

无效情报是指错误、无意义或根据现有信息无法调查利用的威胁情报

1、提交已发现或失效的情报；

2、提交虚假捏造或人为制造的情报信息；

3、提交可能薅羊毛、套现的QQ群号，且未提供其他有效信息的；

4、提交可能售卖用户数据的暗网地址，且未提供其他有效信息的；

5、提交接码群、羊毛群群主的截图和售卖的羊毛工具，但未切身证实可利用的。

3.2.3 情报报告标准

情报报告必须经过情报提交者的验证和复现并提供相关证明材料（不限于复现截图和视频）用于证明威胁情报真实有效；情报提供者需写清楚事实依据，同时应该反馈详细复现信息包括但不限于复现行为开始时间，复现行为结束时间，复现结果和结果证明，复现账号和ID等。未能主动证明真实性的情报将按照无效情报处理。

情报报告的完整性对情报的价值体现有着重要的影响，情报线索清晰、完整有助于工作人员快速定位、验证和跟踪威胁情报。上报情报时，请参考如下标准：

情报标题：简单扼要概括情报内容

情报来源：声明情报来源，如社交群、论坛、网站等并提供相关链接及截图证明

情报内容：何种人群在何时何地出于何种目的通过何种行为对何种业务造成何种危害或损失，如威胁情报组织信息、造成威胁的手段方法、情报涉及的系统和业务信息等并提供相关截图证明

数据证明：提供复现视频或截图，以及情报相关数据真实性证明，如10-20条相关数据样本、攻击代码、攻击工具、危害证明截图等。

四、奖励及发放

4.1常规奖励

常规奖励是对单个漏洞/情报根据奖励标准进行现金奖励，由PSRC指定第三方代为缴纳税费及发放。

4.2奖励发放

漏洞奖励将以现金的形式发放，报告者可在PSRC平台个人中心处查看并申请提现。

提现时间：白帽子可在每月的最后一个工作日前完成提现，逢节假日等特殊情况会另外通知。

处理时间：PSRC白帽子申请提现时，请按照提示上传个人身份证及银行卡信息。为保障广大白帽子们的利益，PSRC将于每月的第一个工作日统计上月申请提现的个人信息，提交打款。逢节假日等特殊情况会另外通知。

到账时间：一般为每月上旬到账，最终金额到账时间以银行为准，请大家耐心等待，感谢理解。

五、评级标准通用原则

1、本原则仅适用于可威胁到平安集团产品和业务相关的漏洞/情报，与平安集团完全无关的情报将不收取。对平安业务安全无影响的威胁情报，不计分。

2、对于非平安直接参与运营的产品和业务或是平安云外部租户的应用漏洞/情报，均不收取。

3、请漏洞/情报报告者严格按照《平安SRC漏洞提交规范》（附录1）提交漏洞/情报报告，所有漏洞/情报需提供利用条件的来源和证明，包括但不限于：

a. 在漏洞测试过程中用到账号登录，但账号来源不是通过注册获得的，需要提供所用账号密码及账号密码的来源，否则将扣除该漏洞奖励；

b. 接口类URL上的漏洞需提供该接口的来源以及调用此接口的页面URL，如果是爆破所得，需在报告说明爆破时间、爆破IP及爆破方法，否则仅给对应漏洞级别的最低漏洞奖励；

c. 对于其他类型漏洞，未提供漏洞利用条件的来源和证明的，都仅给对应漏洞级别的最低漏洞奖励。

4、所有漏洞报告需提供漏洞利用过程的详细信息，包括但不限于：域名，详细URL、PoC代码或截图或视频、数据证明等，如有漏洞利用工具，请提供利用工具名称，经过验证切实可用并造成相应危害的才收取。您提交漏洞/情报报告的规范性可能会影响最终评级，漏洞/情报证明清晰的适当增加奖励，反之适当漏洞降级、降低奖励。

5、漏洞/情报重复或类似：

a. 在PSRC站点提交相同漏洞/情报，第一个报告者获得奖励，后续报告者不得奖励；

b. 在其他平台已经提交过的漏洞/情报，同一个人或其他人再提交到PSRC的漏洞/情报忽略处理；

c. 通用型漏洞（同一个漏洞源产生的多个漏洞）一般计漏洞数量为一个，若提交多个漏洞，第一个漏洞正常评级，其余漏洞降级或忽略处理。例如同一个JS引起的多个XSS漏洞；同一个发布系统引起的多个页面的XSS漏洞；底层框架导致的整站平行权限和存储型XSS/CSRF漏洞；同一个url多个参数SQL注入；同一域名下同一组件产生的多个XSS漏洞或其他漏洞的相同问题等；

d. 服务器某一配置、应用框架某一全局功能、同一文件或模板、泛域名解析等引起的多个问题，请按同一漏洞提交，若提交多个漏洞，第一个漏洞正常评级，其余相似漏洞降级或忽略处理；

e. 同一系统出现同类型漏洞(例如平行权限)时，请按同一漏洞提交，若提交多个漏洞，第一个漏洞正常评级，相似漏洞降级或忽略处理。

f. 前后关联漏洞合并处理，第一个漏洞按打包后正常评级，其他漏洞无影响处理，web不同域名，但经确认为内部同个子系统的该类漏洞。

6、通用型漏洞，如struts、weblogic出现新漏洞，首位附poc报告者得漏洞对应等级最高奖励，报告时间1个月内其他该漏洞引起的问题忽略处理，1个月后如仍存在该问题则按漏洞对应级别收取。

7、对于第三方SDK/第三方库导致的客户端漏洞（包括PC和移动端），且可以通过升级或者更换第三方SDK/第三方库可完成修复的漏洞，仅收取第一个报告的漏洞。若3个月后还发现存在此漏洞，可再次提交。

8、对于移动终端系统导致的通用型漏洞，比如webkit的uxss、代码执行等，仅收取第一个报告的漏洞，对于其他产品的同个漏洞报告，均不再另外收取。

9、用于测试上传的webshell文件命名必须包含PSRCTEST，测试用webshell不能含有远控、数据传输、文件浏览等功能（建议用print ***），以免造成不必要的麻烦。PSRC对上传真实webshell的漏洞做降级处理。

10、对内部已经发现并在处理的漏洞/情报，做忽略处理，PSRC审核员不会随意忽略外部安全人士提交的漏洞/情报。

11、漏洞/情报报告者在PSRC宣布修复后（漏洞状态为“已关闭”），复查漏洞/情报时如果发现漏洞/情报仍然存在或未修复好，可再次提交漏洞/情报报告。

12、拒绝无实际危害证明的扫描器结果，此类报告将被忽略处理。

13、请在漏洞报告中详细说明该漏洞产生的实质危害，并提供相关证明依据。不接收间接危害或猜测危害。经业务确认及证明，实际影响用户数量有限的漏洞进行降级处理。

14、涉及到平安安全的漏洞/情报，禁止未经平安授权，私自公开漏洞情报的行为，一旦发现严肃处理，包括取消奖励、禁用账户等。

15、以安全测试为借口，利用漏洞/情报信息进行损害用户利益、影响业务正常运作、修复前公开、盗取用户数据等行为的，将不会收取，同时平安保留采取进一步法律行动的权利。

16、如果您对漏洞评级结果有争议，欢迎通过微信公众号：平安集团安全应急响应中心、邮箱：pub_sec@pingan.com.cn向我们反馈，互相尊重和理性沟通是解决问题的前提，对于捏造事实、恶意诋毁平台或言语攻击、辱骂威胁平台工作人员的行为，我们将不予以奖励，已发放的奖励将追回，同时封禁平台账号，感谢您的理解和配合。

17、您在“平安安全应急响应中心”平台获得奖励所产生的个税，将由PSRC指定第三方代为缴纳税费。您应知悉第三方为您代扣代缴的个税，属于综合所得的部分，将体现在个人所得税年度汇算中。

18、当为您发放节日礼品时，我们将收集您的姓名、通信地址、联系方式、身份证号码等信息。这些信息是向您寄送礼品和个税登记扣缴所必须的信息，如果您拒绝提供，将无法完成礼品发放。

19、当您在“平安安全应急响应中心”平台申请提现现金奖励时，我们还将进一步收集您的银行卡信息(用于汇款)及身份证号码(用于个税登记和扣缴)。如果您拒绝提供，将无法完成相关款项支付。

本标准所有内容最终解释权归PSRC所有。

特别提醒

1.对平安集团员工，负责安全的专业人员提交自己所负责专业公司或分公司的安全漏洞/情报不予奖励。

2.集团性质的安全组织人员禁止在PSRC上提交漏洞/情报兑换奖励。

3.平安专业公司可提交非本公司的安全漏洞，但不参与PSRC年度、季度、最具价值漏洞等其他奖励评选，并需要将账号信息同步到PSRC审核处进行报备。

六、FAQ

Q1：PSRC上漏洞奖励提现后多久可以到账？

A：一般为每月上旬到账，最终金额到账时间以银行为准，请大家耐心等待，感谢理解。

Q2：PSRC有没有先“忽略”漏洞/情报之后偷偷修复情况?

A：绝对不会。提交的“漏洞/情报”一旦进入“忽略”状态，审核会在备注中说明具体的忽略理由。当然也有可能由于业务本身的变动导致漏洞/情报不再存在，但无论如何，PSRC都不会“偷偷”修复。

Q3：平安哪些业务可以进行安全测试，有哪些问题需特别注意？

A：对平安业务进行安全测试前，请认真阅读《PSRC用户服务协议》。

争议解决办法

在漏洞/情报处理过程中，如果报告者对处理流程、漏洞/情报评定、漏洞/情报评级等具有异议的，可与我们联系，联系方法：

1、 发送消息至平安安全应急响应中心微信公众号

2、 发送邮件至邮箱：pub_sec@pingan.com.cn

平安集团安全应急响应中心将根据漏洞/情报报告者利益优先的原则进行处理，必要时可引入外部人士共同裁定。

附录1：《平安SRC漏洞提交规范》

https://security.pingan.com/homePage/announcement/73

附录2：《平安SRC安全测试规范》

https://security.pingan.com/homePage/announcement/61