Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Debido a que Alibaba tiene una amplia gama de negocios en línea, un cierto tipo de vulnerabilidad
puede causar un impacto diferente en diferentes negocios. Para aclarar este tipo de impacto,
23 días
hemos dividido nuestro negocio en 2 niveles que son Negocio principal y Negocio normal: Tiempo promedio para
Negocio principal : Productos y servicios relacionados con compradores, vendedores, comercios y recompensar
Política
Estadísticas del programa
Promoción de mejor investigador de país de ASRC - Tabla de clasificación Actualizado a diario
Para obtener la lista completa de clasificación y clasificación de cada país, consulte nuestra página
en Twitter de ASRC https://twitter.com/AsrcSecurity $ 97,763
Total de recompensas pagadas
Alibaba BBP espera trabajar con la comunidad de seguridad para encontrar vulnerabilidades a fin de
mantener seguros nuestros negocios y clientes. $ 150
Recompensa promedio
Objetivos de respuesta
Alibaba BBP hará el mejor esfuerzo para cumplir con los siguientes SLA para los piratas $ 600 - $ 5,300
informáticos que participan en nuestro programa: Rango de recompensa superior
Política de divulgación
Como se trata de un programa privado, no discuta este programa ni ninguna vulnerabilidad 175
(incluso las resueltas) fuera del programa sin el consentimiento expreso de la organización. Informes resueltos
Siga las pautas de divulgación de HackerOne .
Acceso 219
Hackers agradecidos
Los investigadores son libres de crear sus propias cuentas de vendedor, comprador, etc. en las
aplicaciones incluidas en el alcance. Alibaba no proporcionará credenciales ni acceso privilegiado,
por lo que las cuentas están limitadas a lo que los usuarios pueden crear por su cuenta. Los mejores hackers
Reglas del programa
harisec
Proporcione informes detallados con pasos reproducibles. Si el informe no es lo suficientemente Reputación: 381
detallado como para reproducir el problema, el problema no será elegible para una recompensa.
Neelponkia
Envíe una vulnerabilidad por informe, a menos que necesite encadenar vulnerabilidades para Reputación: 348
proporcionar impacto.
Cuando se producen duplicados, solo otorgamos el primer informe que se recibió (siempre que uvs
se pueda reproducir en su totalidad). Reputación: 322
Para la primera etapa del programa Bug Bounty de Alibaba, solo los objetivos enumerados están
dentro del alcance.
Otros dominios / activos propiedad de Alibaba pero que no figuran en la lista, no están dentro del
alcance y no son elegibles para recompensas.
Puede enviar informes para los activos que se enumeraron anteriormente en el Programa de
respuesta de Alibaba a la plataforma ASRC aquí: https://security.alibaba.com/
Podemos agregar esos activos gradualmente en la siguiente fase del programa. ¡Estén atentos a
las actualizaciones!
Lazada ha revisado el alcance y ahora incluye TODOS los dominios de Lazada. En definición, son:
* .lazada.com
* .lazada.sg
* .lazada.vn
* .lazada.com.my
* .lazada.com.ph
* .lazada.co.id
* .lazada.co.th
Tenga en cuenta que si una IP pertenece a un cliente externo de Alibaba Cloud, no está dentro del
alcance.
sellercenter.taobao.com | .tw
Vulnerabilidades en:
* .anydomain.com | cn / [* /] login.htm
* .anydomain.com | cn / [* /] mini [*] login.htm
* .anydomain.com | cn / [* /] icbu [*] login.htm
o patrones como URL anteriores,
considerarán como un solo informe válido debido a un mismo servicio de back-end. Además, las
vulnerabilidades en diferentes
parámetros de la misma URL se consideran UN informe válido.
Aliyuncs.com
Tenga en cuenta que la gravedad de las siguientes vulnerabilidades no se evaluará por encima de la
gravedad media:
Vulnerabilidades que requieren que el usuario visite cierta URL o URL controlada por el atacante,
por ejemplo:
XSS reflejado
XSS almacenado que necesita visitar cierta URL o necesita la interacción del usuario
CSRF
CORS
Secuestro de Jsonp
Secuestro de OAuth
Escalada de privilegios
Adquisición de subdominios abandonados o no utilizados
Carga de archivos arbitraria que solo conduce a XSS almacenado, etc.
Puerto seguro
Cualquier actividad realizada de manera consistente con esta política se considerará conducta
autorizada y no iniciaremos acciones legales contra usted. Si un tercero inicia una acción legal
contra usted en relación con las actividades realizadas en virtud de esta política, tomaremos
medidas para informarle que sus acciones se realizaron de conformidad con esta política.
Contactando al equipo
Informes: puede comunicarse con el equipo H1 y el equipo ASRC directamente en su informe
H1.
Eventos e información: ASRC realizará eventos con frecuencia. Ver:
https://security.alibaba.com/online . También puedes seguir nuestro Twitter para
actualizaciones
Alcances
En alcance
Descargue el archivo de configuración del proyecto Burp Suite ( 28 URL ) Ver cambios Última actualización el 30
de julio de 2020 .
© HackerOne Directorio Seguridad
Tabla de clasificación Blog
Docs Apoyo
Pautas de divulgación prensa
Intimidad Condiciones