SOBUG

Sobug众测平台是一个连接安全专家与厂商的网络安全众测平台，安全专家在平台上发现厂商的安全问题，厂商基于测试效果对安全专家进行奖励。

SOBUG基本信息

Sobug众测平台是一个连接安全专家与厂商的网络安全众测平台，安全专家在平台上发现厂商的安全问题，厂商基于测试效果对安全专家进行奖励。

SOBUG关于Sobug

Sobug众测平台是一个连接安全专家与厂商的网络安全众测平台，安全专家在平台上发现厂商的安全问题，厂商基于测试效果对安全专家进行奖励。

Sobug众测平台是以技术众包的方式，帮助厂商在产品上线前对安全问题进行全面，有效的审计，同样也适用于上线后对安全问题的周期性巡检。

厂商基于测试中发现的安全漏洞需要对安全专家进行不同级别的奖励，并保障安全专家的权益不受损害。

SOBUG业务模式

SOBUG计费标准

以测试结果为计费标准，厂商提供众测可提供的奖金数额，平台会根据安全问题的危害评估出高中低危漏洞所涉及的奖金区间，平台双方基于此区间金额进行付费。

以服务项目为计费标准，厂商可以购买周期性的安全测试服务，平台会根据厂商的测试项目，测试要求评估出奖金区间，平台双方基于此区间金额进行付费。

SOBUG风险控制

安全的授权，平台双方均在授权下才能完成此测试过程，厂商需要签订合同，安全专家需要实名。

行为的审计，对于保密性要求较高的厂商，可由平台提供堡垒机或厂商提供VPN，对测试行为进行审计。

过程的竞争，对于同一个安全问题，平台只奖励首个发现该问题的安全专家，充分挖掘潜在安全问题。

结果的保密，安全专家非经厂商允许，不能对外透露测试过程和结果的任何细节。

风险的规避，平台对双方在测试过程中发生的纠纷提供强有力的法律援助，最大限度保障平台双方的权益不受损害。

SOBUG结果输出

测试过程中，安全专家发现的安全问题可即时提交，厂商会通过平台和邮件即时得到通知。

测试结束后，平台会以专业的安全报告形式，形成标准化文档，对安全问题进行统一梳理，并给出专业的安全建议。

SOBUG漏洞分级

SOBUG高风险

直接获取权限的漏洞（服务器权限）。包括但不限于远程任意命令执行，文件上传获取Webshell，代码执行，远程缓冲区溢出，远程内核代码执行漏洞以及其他因逻辑问题导致的远程代码执行漏洞。

严重的逻辑漏洞。包括但不限于任意账号登录、任意账号密码修改、支付绕过及任意身份敏感操作等。

直接导致严重信息泄漏或数据泄漏漏洞。包括不限于重要DB的SQL注入漏洞。

SOBUG中风险

需交互才能获取用户身份信息的漏洞。包括但不限于反射型XSS（包括DOMXSS，FlashXSS）、JsonHijacking、敏感操作的CSRF。

普通的信息泄漏。包括但不限于无法获取数据的SQL注入等。

平行权限漏洞。包括但不限于普通用户权限越权访问或修改其他用户的信息。

大范围影响用户的漏洞。包括但不限于容易利用的存储XSS、可导致蠕虫的CSRF等。

非授权访问/权限绕过。包括但不限于绕过身份验证访问后台、后台弱口令等。

SOBUG低风险

特定浏览器下触发的漏洞（如IE6等）才能获取用户信息的漏洞。包括但不限于反射型XSS（包括DOMXSS，FlashXSS）。

轻微的信息泄漏。包括但不限于绝对路径泄漏、phpinfo、svn/cvs信息泄漏，网络明文传输密码，Web目录遍历，系统路径遍历，目录浏览等。

URL跳转漏洞。

确定是安全隐患但是难以利用的漏洞。包括但不限于可能传播和利用的Self-XSS以及无敏感操作的CSRF。

普通的越权操作及设计缺陷或流程缺陷。