和数钱包安全攻防活动规则
活动介绍:2018年6月8日,上海和数软件有限公司发布“和数钱包”,发布会完成后,经过报名审核的安全专家,将参与钱包真机安全攻防,设立高达20个比特币奖金池,邀请各位白帽子、安全专家来挑战,并邀请各位用户、科技界媒体、区块链媒体共同见证。
总奖金:20个比特币
报名时间:即日起至2018-06-01 24:00:00
参赛时间:2018-06-08 12:00:00 至2018-09-08 12:00:00
官方邮箱:bug@heshuruanjian.com
参赛主体:个人,团队,公司
参赛规则
1、参赛主体将漏洞提交到指定邮箱,评审专家会在3-7个工作日对漏洞进行验证和测试,并邮件通知结果。
2、所有漏洞根据《漏洞评分标准》进行评分,漏洞级别越高,奖励的比特币越多;总奖金额为20个比特币,发完为止。
3、两个或以上团队提交相同漏洞,则根据邮件发送时间标识为准,仅第一个提交漏洞的参赛主体可获取奖励。
如何发放奖励:邮件通知审核结果后,3个工作日内一次性发放奖励。
如何提交漏洞:按以下格式填写后,提交到电子邮箱bug@heshuruanjian.com。
漏洞评分标准:采用可利用性指标组和影响性指标组进行漏洞的评分。可利用性指标组描述漏洞利用的方式和难易程度,反映脆弱性组件的特征,应依据脆弱性组件进行评分,影响性指标组描述漏洞被成功利用后给受影响组件造成的危害,应依据受影响组件进行评分。
可利用性指标组:可利用性指标组刻画脆弱性组件(即包含漏洞的事物)的特征,反映漏洞利用的难易程度和技术要求等。可利用性指标组包含四个指标,分别是攻击途径、攻击复杂度、权限要求和用户交互。每一个指标的取值都应当根据脆弱性组件进行判断,并且在判断某个指标的取值时不考虑其他指标。
攻击途径:指攻击者利用漏洞的途径。是否可通过网络、邻接、本地和物理接触等方式进行利用。
赋值如下:
1.网络:通过网络攻击。
2.邻接:通过物理(如,蓝牙、IEEE 802.11)或逻辑(如,本地IP子网)网络内利用该漏洞。
3.本地:用户执行恶意文件利用该漏洞。
4.物理接触:通过物理接触发动攻击。
攻击复杂度:指实施攻击的复杂程度。对于必须存在特定条件才能利用的漏洞,攻击者可能需要收集关于目标的更多信息。
赋值如下:
1.低,不存在专门的访问条件,攻击者可以期望重复利用漏洞。
2.高:漏洞的成功利用依赖于某些攻击者不能控制的条件。
权限要求:利用漏洞时是否需要拥有对该组件操作的权限(如管理员权限、guest权限)。
赋值如下:
1.无,攻击者在发动攻击前不需要授权。
2.低,攻击者需要取得普通用户权限。
3.高,攻击者需要取得对脆弱性组件的完全控制权限。
用户交互:指攻击者成功利用漏洞是否需要用户(而不是攻击者)的参与。
赋值如下:
1.不需要,无需任何用户交互即可利用漏洞。
2.需要,需要其他用户在漏洞被利用之前执行一些操作(打开某个文件、点击某个链接、访问特定的网页等)。
影响性指标组:反映漏洞成功利用后所带来的危害。漏洞的成功利用可能危害一个或多个组件,影响性指标组的分值应当根据遭受最大危害的组件进行评定。
机密性影响:度量漏洞的成功利用对信息资源的机密性的影响。例如,系统文件丢失、信息暴露等。
赋值如下:
1.高,机密性完全丢失,导致受影响组件的所有资源暴露给攻击者。
2.低,机密性部分丢失。
3.无,受影响组件的机密性没有丢失,攻击者不能获得任何机密信息。
完整性影响:度量漏洞的成功利用给完整性造成的影响。例如,内容被恶意修改,攻击者可以修改/替换文件等。
赋值如下:
1.高,完整性完全丢失,或者完全丧失保护。
2.低,攻击者可以修改数据,但是不能控制修改数据造成的后果,或者修改的数量是有限的。
3.无:受影响组件的完整性没有丢失,攻击者不能修改受影响组件中的任何信息。
可用性影响:度量漏洞的成功利用给受影响组件的性能带来的影响。
赋值如下:
1.高,可用性完全丧失,攻击者能够完全拒绝对受影响组件中资源的访问。
2.低:攻击者能够降低资源的性能或者中断其可用性。
3.无:受影响组件的可用性不受影响,攻击者不能降低受影响组件的性能。
重要说明:
1:活动有效期为2018-06-08 12:00:00 至2018-09-08 12:00:00,其它时间无效;
2:不在活动本地的主体,活动结束后可报销全额交通费用,及食宿补贴(国内400RMB/国外800RMB);
3:无法到现场参赛的主体,可申请邮寄产品,活动结束后一周内寄回,邮费由公司负责。产品寄回地址,收件人:采购部 电话:18025315530 地址:深圳龙华民治优城商务大厦北区B座1308
4:产品仅作为本次活动使用,除此,带来的任何商业纠纷均与上海和数软件有限公司无关。
5:本次活动最终解释权归上海和数软件有限公司所有,我们诚挚地邀请各位参赛主体加入和数安全团队,共同维护网络安全。