Programa Bug Bounty

Alibaba BBP Enviar reporte

Lanzado en abril de 2020

https://security.alibaba.com · @ AsrcSecurity Administrado por HackerOne

Informes Activos en Recompensa

resueltos alcance promedio
175 14 $ 150 Marcador Suscribir

Política Hacktivity Gracias Actualizaciones (0)

Recompensas Eficiencia de respuesta

Crítico Alto Medio Bajo 4 horas

Tiempo medio hasta la primera
$ 2,500 $ 1,000 $ 150 $ 50
respuesta
$ 1,000 $ 400 $ 80 $ 30
2 días
Nivel de recompensa Tiempo promedio de triaje

Debido a que Alibaba tiene una amplia gama de negocios en línea, un cierto tipo de vulnerabilidad
puede causar un impacto diferente en diferentes negocios. Para aclarar este tipo de impacto,
23 días
hemos dividido nuestro negocio en 2 niveles que son Negocio principal y Negocio normal: Tiempo promedio para

Negocio principal : Productos y servicios relacionados con compradores, vendedores, comercios y recompensar

tiendas en dominios incluidos en el alcance.

Negocio normal : Productos y servicios que no están relacionados con compradores, vendedores,
2 meses
comercios y tiendas en dominios incluidos en el alcance. Tiempo medio de resolución
Los informes de negocios principales serán recompensados con el estándar de recompensa de 97% de los
primera línea en la tabla anterior, y los negocios normales serán recompensados con el estándar de
informes
recompensa de segunda línea.
Cumple con los estándares
Última actualización el 3 de junio de 2020 . Ver cambios de respuesta
Basado en los últimos 90 días

Política
Estadísticas del programa
Promoción de mejor investigador de país de ASRC - Tabla de clasificación Actualizado a diario
Para obtener la lista completa de clasificación y clasificación de cada país, consulte nuestra página
en Twitter de ASRC https://twitter.com/AsrcSecurity  $ 97,763
Total de recompensas pagadas
Alibaba BBP espera trabajar con la comunidad de seguridad para encontrar vulnerabilidades a fin de
mantener seguros nuestros negocios y clientes. $ 150
Recompensa promedio
Objetivos de respuesta
Alibaba BBP hará el mejor esfuerzo para cumplir con los siguientes SLA para los piratas $ 600 - $ 5,300
informáticos que participan en nuestro programa: Rango de recompensa superior

Tipo de respuesta SLA en días hábiles $ 49,903

Recompensas pagadas en los
Primera respuesta 2 días últimos 90 días

Hora de la clasificación 5 dias 848

Informes recibidos en los
Tiempo de recompensa 2 días
últimos 90 días
Tiempo de resolución depende de la gravedad y la complejidad
Hace 4 días
Último informe resuelto
Intentaremos mantenerlo informado sobre nuestro progreso a lo largo del proceso.

Política de divulgación
 Como se trata de un programa privado, no discuta este programa ni ninguna vulnerabilidad 175
(incluso las resueltas) fuera del programa sin el consentimiento expreso de la organización. Informes resueltos
Siga las pautas de divulgación de HackerOne .

Acceso 219
Hackers agradecidos
Los investigadores son libres de crear sus propias cuentas de vendedor, comprador, etc. en las
aplicaciones incluidas en el alcance. Alibaba no proporcionará credenciales ni acceso privilegiado,
por lo que las cuentas están limitadas a lo que los usuarios pueden crear por su cuenta. Los mejores hackers
Reglas del programa
harisec
Proporcione informes detallados con pasos reproducibles. Si el informe no es lo suficientemente Reputación: 381

detallado como para reproducir el problema, el problema no será elegible para una recompensa.
Neelponkia
Envíe una vulnerabilidad por informe, a menos que necesite encadenar vulnerabilidades para Reputación: 348
proporcionar impacto.
Cuando se producen duplicados, solo otorgamos el primer informe que se recibió (siempre que uvs
se pueda reproducir en su totalidad). Reputación: 322

Varias vulnerabilidades causadas por un problema subyacente recibirán una recompensa.

wunderwuzzi23
La ingeniería social (por ejemplo, phishing, vishing, smishing) está prohibida. Reputación: 286
Haga un esfuerzo de buena fe para evitar violaciones de privacidad, destrucción de datos e
interrupción o degradación de nuestro servicio. Solo interactúe con las cuentas de su propiedad dozybrit
o con el permiso explícito del titular de la cuenta. Reputación: 266

Alcance Todos los hackers

Para la primera etapa del programa Bug Bounty de Alibaba, solo los objetivos enumerados están
dentro del alcance.
Otros dominios / activos propiedad de Alibaba pero que no figuran en la lista, no están dentro del
alcance y no son elegibles para recompensas.

Puede enviar informes para los activos que se enumeraron anteriormente en el Programa de
respuesta de Alibaba a la plataforma ASRC aquí: https://security.alibaba.com/ 
Podemos agregar esos activos gradualmente en la siguiente fase del programa. ¡Estén atentos a
las actualizaciones!

Cosas a tener en cuenta sobre el alcance

Alcance de lazada

Lazada ha revisado el alcance y ahora incluye TODOS los dominios de Lazada. En definición, son:
* .lazada.com
* .lazada.sg
* .lazada.vn
* .lazada.com.my
* .lazada.com.ph
* .lazada.co.id
* .lazada.co.th

Tenga en cuenta que si una IP pertenece a un cliente externo de Alibaba Cloud, no está dentro del
alcance.

Si la descripción de una IP contiene 'Alicloud' o 'Aliyun' en el resultado de la búsqueda aquí:

http://wq.apnic.net/static/search.html , existe una alta probabilidad de que esta IP pertenezca a
nuestro cliente externo de Alibaba Cloud, que no está dentro del alcance. Pero tenga en cuenta
que esto es solo una referencia, no una regla estricta. Si no está seguro y el impacto es lo
suficientemente grave, puede enviarlo y examinaremos su informe lo antes posible.

sellercenter.taobao.com | .tw

sellercenter.taobao.com | .tw pertenece a Lazada, y ahora no está en el alcance de este programa.

Vulnerabilidades en:

* .anydomain.com | cn / [* /] login.htm
* .anydomain.com | cn / [* /] mini [*] login.htm
* .anydomain.com | cn / [* /] icbu [*] login.htm
o patrones como URL anteriores,
considerarán como un solo informe válido debido a un mismo servicio de back-end. Además, las
vulnerabilidades en diferentes
parámetros de la misma URL se consideran UN informe válido.

Aliyuncs.com

Las vulnerabilidades de front-end en aliyuncs.com no son un dominio de "confianza" en nuestro

negocio. Entonces, XSS, CSRF, Open Redirection, etc. no están dentro del alcance. Pero las
vulnerabilidades del servidor están dentro del alcance.

Tenga en cuenta que la gravedad de las siguientes vulnerabilidades no se evaluará por encima de la
gravedad media:

Vulnerabilidades que requieren que el usuario visite cierta URL o URL controlada por el atacante,
por ejemplo:

XSS reflejado
XSS almacenado que necesita visitar cierta URL o necesita la interacción del usuario
CSRF
CORS
Secuestro de Jsonp
Secuestro de OAuth
Escalada de privilegios
Adquisición de subdominios abandonados o no utilizados
Carga de archivos arbitraria que solo conduce a XSS almacenado, etc.

Directrices de evaluación de la gravedad de la vulnerabilidad de la SSRF

Alibaba ha identificado cuatro tipos principales de SSRF para sus negocios:

1.SSRF en servicios de red de
producción 2. SSRF ciego en servicios de red de producción
3.SSRF en servidor
en la nube 4. SSRF ciego en servidor en nube
Tenga en cuenta que la gravedad de las SSRF puede variar de baja a crítica. Hemos preparado un
documento que describe cómo se evaluarán los problemas de la SSRF y para dar claridad a
nuestros investigadores: https://security.alibaba.com/announcement/announcement?id=194 .

Vulnerabilidades fuera de alcance

Los siguientes tipos de hallazgos están específicamente excluidos:
· Vulnerabilidades que afectan a los usuarios de navegadores o plataformas obsoletos
· Fuerza bruta de la cuenta
· Adquisición de la cuenta mediante CSRF / OAUTH, etc.
· Self-XSS
· XSS basado en Flash
· Tabnabbing
· Spoof de correo electrónico
· Fijación de sesión
· Spoofing de contenido
· Indicadores de cookies faltantes
· Mejores prácticas / problemas
· Inyección de contenido HTML
· Advertencias de contenido mixto
· Clickjacking / corrección de la interfaz de usuario
· Problemas relacionados con HTTPS / SSL / TLS
· Ataques de ingeniería social o física
· Ataques de descarga de archivos reflejados (RFD)
· Problemas que requieren un usuario improbable Interacción
· Inicio de sesión / cierre de sesión / no autenticado / CSRF de bajo impacto
· Resultados no verificados de herramientas o escáneres automatizados
· Sin SPF / DMARC en dominios / subdominios que no sean de correo electrónico
· Ataques que requieran MITM o acceso físico al dispositivo de un usuario
· Problemas relacionados con los protocolos de red o la industria estándares
· Inyección de alimentación de línea de retorno de carro sin impacto directo (CRLF)
 · Divulgación de información de error que no se puede usar para realizar un ataque directo
· Encabezados HTTP faltantes relacionados con la seguridad que no conducen directamente a una
vulnerabilidad

Puerto seguro
Cualquier actividad realizada de manera consistente con esta política se considerará conducta
autorizada y no iniciaremos acciones legales contra usted. Si un tercero inicia una acción legal
contra usted en relación con las actividades realizadas en virtud de esta política, tomaremos
medidas para informarle que sus acciones se realizaron de conformidad con esta política.

Contactando al equipo
Informes: puede comunicarse con el equipo H1 y el equipo ASRC directamente en su informe
H1.
Eventos e información: ASRC realizará eventos con frecuencia. Ver:
https://security.alibaba.com/online . También puedes seguir nuestro Twitter  para
actualizaciones

¡Gracias por ayudar a mantener seguros a Alibaba y a nuestros usuarios!

Última actualización el 30 de julio de 2020 . Ver cambios

Alcances

En alcance

Dominio * .lazada. * Crítico Elegible

Lazada ha revisado el alcance y ahora incluye TODOS los
dominios de Lazada. En definición, son:
* .lazada.com
* .lazada.sg
* .lazada.vn
 * .lazada.com.my
* .lazada.com.ph
* .lazada.co.id
* .lazada.co.th

Dominio * .cainiao.com Crítico Elegible

Dominio * .alibaba.com Crítico Elegible

Dominio * .aliexpress.com Crítico Elegible

Dominio * .taobao.com Crítico Elegible

Dominio * .tmall.com Crítico Elegible

Dominio * .aliyun.com Crítico Elegible

Dominio * .alibabacloud.com Crítico Elegible

Dominio * .1688.com Crítico Elegible

Dominio * .dingtalk.com Crítico Elegible

Dominio * .alibaba-inc.com Crítico Elegible

Dominio * .aliyun-inc.com Crítico Elegible

Dominio www.alibabagroup.com Crítico Elegible

Dominio * .alimama.com Crítico Elegible

Descargue el archivo de configuración del proyecto Burp Suite ( 28 URL ) Ver cambios Última actualización el 30
de julio de 2020 .
© HackerOne Directorio Seguridad
Tabla de clasificación Blog
Docs Apoyo
Pautas de divulgación prensa
Intimidad Condiciones
