一、漏洞收集原则：

1、CESRC收集漏洞范围：

宜信名下所有产品及业务，域名包括但不限于*.creditease.cn，*.yixin.com。

2、每个漏洞RANK值由CESRC根据漏洞利用难易程度、危害大小及影响范围综合考虑决定分为5个等级：忽略 0分、低危 1～5分、中危 6～10分、高危 11～15分、严重 16～20分。详细评分标准参考下文漏洞风险等级。

3、相同问题的漏洞，将按提交时间给予首个提交者积分。

4、漏洞提交报告应尽量详细、规范。提供详细的漏洞详情、漏洞原理、利用方式以及修复建议的可以酌情加分。漏洞需证明其存在并可利用，对于poc或exploit未提供或者没有详细分析的漏洞提交将直接影响该漏洞的评定。

5、CESRC漏洞奖励计划仅限于首次在CESRC提交的漏洞，在其它平台上提交过的，同一漏洞非首次提交的，均不予审核通过。提交网上已经公开的漏洞不计分。严禁白帽子在多平台提交相同漏洞来刷奖励，一经发现将严肃处理。

6、恶意提交者将作封号处理。

7、漏洞证明其存在并可利用，禁止利用漏洞进行非法操作，包括但不限于：拖库、进入内网，情节严重者将取消该用户所有安全币。

8、由于客户端的特殊性，提交漏洞以当前时间最新客户端为准(同一漏洞不可在不同版间重复提交)。

9、只接收属于宜信移动客户端产品的漏洞，不接收Android/IOS系统自身漏洞。

10、如果同一漏洞或同一问题漏洞的不同表现形式在漏洞修复前由多位漏洞报告者提交，在进行奖励时，我们会以最先提交并清晰表述、重现此漏洞问题的研究者为唯一受奖励者。

11、宜信坚决抵制利用漏洞进行损害用户和宜信利益、影响业务正常运作、修复前公开、盗取用户数据等恶意行为，一经发现将进行严肃处理，同时宜信保留采取进一步法律行动的权利。

12、奖励机制只支持宜信相关业务，合作方、供应商等第三方公司系统不在此奖励范围内。

二、漏洞风险等级：

根据漏洞的利用难易程度、危害大小及影响范围综合考虑决定共分为五个级别：严重、高、中、低、忽略，每个等级评分与范围定义如下：

【严重】RANK：15-20

涵盖范围：

1.    直接获取操作系统权限（服务端权限、客户端权限）的漏洞：包括但不限于任意代码执行、任意命令执行、上传Webshell并可执行、缓冲区溢出、SQL注入获取系统权限等等；

2.    严重的敏感信息泄露漏洞：包括但不限于可获取重要数据的 SQL 注入漏洞、任意文件读取和下载漏洞（如包含重要服务口令）等；

3.    严重的逻辑漏洞：包括但不限于涉及账户支付方面的安全问题，如任意账号登录、任意账号密码修改、任意账号资金消费、支付交易方面的严重问题。

【高危】RANK：10-15

涵盖范围：

1.    获取业务系统权限的漏洞：包括但不限于任意命令执行、上传webshell、任意代码执行等；

2.    高风险的信息泄露漏洞：包括但不限于DB的SQL注入漏洞，泄露用户账户支付相关信息泄露，核心功能的源代码泄露（含算法，重要业务逻辑等），泄露用户隐私信息，服务器敏感信息的日志文件下载等；

3.    直接导致系统业务拒绝服务的漏洞：包括但不限于直接导致业务重要接口拒绝服务漏洞；

4.    影响范围较广的越权访问漏洞：包括但不仅限于绕过认证直接访问管理后台可操作，应用非授权访问、应用后台弱密码、访问其他用户敏感信息（包括用户资料信息和订单信息）、针对非当前登录用户的越权操作、任意文件包含、任意文件读取、可直接获取大量内网敏感信息的 SSRF等；

5.    高风险的业务逻辑缺陷：包括但不限于不涉及账户支付方面的安全问题，如任意密码重置，任意账号登陆等；

6.    移动客户端业务：第三方应用可以跨应用调用移动客户端产品的功能完成一些高危操作，包括但不仅限于远程命令执行等。

【中危】RANK：5-10

涵盖范围：

1.    普通信息泄露：包括但不限于客户端明文存储密码、个别用户订单或身份信息泄露、包含服务器或数据库敏感信息的源代码压缩包下载、内部数据泄露、github泄露账号密码等；

2.    弱验证机制引发的漏洞：包括但不限于可暴力破解的加密方式、未做访问次数限制的业务相关接口，帐户相关暴力破解且成功获取帐户信息等；

3.    需交互才能获取用户身份信息的漏洞：包括但不限于敏感操作的CSRF，json hijacking、可造成严重危害的存储型XSS等；

4.    普通逻辑设计缺陷：包括但不限于短信验证码绕过、邮件验证绕过。

【低危】RANK：1-5

涵盖范围：

1.    轻微信息泄露：包括但不限于路径信息泄漏、.git信息泄漏、phpinfo、logcat、异常信息泄露，以及客户端应用本地SQL注入（仅泄漏数据库名称、字段名、cache内容）、日志打印、配置信息、异常信息等；

2.    拒绝服务漏洞：包括但不仅限于客户端本地拒绝服务、由Android组件权限暴露、普通应用权限引起的问题；

3.    难以利用但存在安全隐患的漏洞：包括但不仅限于难以利用的SQL注入点、可能引起传播的self-xss、不能引起较大危害的存储型XSS（包括仅自己可见的存储型XSS）、反射型XSS（包括反射型DOM-XSS，Flash型XSS）等；

4.    其他只能造成轻微影响的漏洞：包括但不仅限于URL 跳转、系统/服务运维配置不当、组件权限漏洞等。

【忽略】RANK：0

涵盖范围：

1.    不涉及安全问题的BUG：包括但不限于产品功能缺陷、页面乱码、样式问题、静态文件目录遍历、应用兼容性等问题；

2.    无法利用的漏洞：包括但不限于难以利用的self-xss、非敏感操作的CSRF、无敏感信息的json hijacking等；

3.    无敏感信息的信息泄露：包括但不限于无意义的源码泄漏、无意义的内网 IP 地址/域名/账号密码泄漏、路径信息泄露、无敏感信息的 logcat信息泄漏等；

4.    不能重现的漏洞：包括但不仅限于纯属用户猜测、未经过验证的问题、无实际危害证明的扫描器结果。

5.   通过利用短信接口对单个和多个手机号进行轰炸类漏洞暂不接收。

三、CESRC业务分级系数：

业务分级由CESRC根据不同业务系统重要程度进行分级，不同重要等级的业务系统漏洞奖励会有不同。

四、奖励计划：

奖励计划采取积分兑换形式实行，白帽子通过提交漏洞来获得奖励积分，积分由漏洞对应用的危害程度以及业务分级系数决定，奖励积分公式：

奖励积分=RANK 值*业务分级系数*倍数奖励（默认为1）

举例：白帽子提交的一个宜信漏洞，CESRC根据漏洞风险等级及CESRC业务分级系数评判，业务分级系数为一级150， RANK值为15，并且当前在活动期，倍数奖励为1.5，则奖励白帽子该漏洞的积分为：

15*150*1.5=3375 积分=3375 RMB

这只是一个基础分，如果白帽子提交漏洞危害较大，且漏洞详情、漏洞原理、利用方式以及修复建议写的详细，对我们有很大帮助，CESRC会通过提高RANK值或奖励倍数给白帽子额外奖励。

倍数奖励：

⑴活动期倍数会增加；

⑵白帽子提交的漏洞价值超出RANK值范围，倍数会增加。

白帽子可用获得的积分在积分商场里兑换礼品，每个白帽子账户中的积分可以累积，但仅供个人使用。

五、漏洞争议解决办法：

白帽子在漏洞提交及处理过程中，如果对流程处理、漏洞定级、漏洞评分等有异议的，可以参考公告内的《CESRC漏洞评分申诉条件及办法》进行操作。CESRC将按照漏洞报告者利益优先的原则处理，必要时可引入外部安全人士共同裁定。