亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

周三大事件JSRC漏洞評(píng)分規(guī)則6.0出爐啦！

距離上次評(píng)分規(guī)則的更新已有一年，這一年來(lái)，我們將所有收集到的來(lái)自白帽子的反饋、爭(zhēng)議進(jìn)行整理分析，不斷求取白帽子和同行意見(jiàn)，反復(fù)修改。今天，規(guī)則6.0終于出爐啦，感謝對(duì)此規(guī)則給予過(guò)建議的朋友，在此要特別感謝Jinone、花生、v清風(fēng)、Alice對(duì)本規(guī)則的大力幫助。

下面就和小妹一起看看新版評(píng)分規(guī)則主要有哪些重要更新吧~

1.積分計(jì)算方式

首先一個(gè)比較大的更新是漏洞積分的計(jì)算方式，新版規(guī)則根據(jù)涉及數(shù)據(jù)的敏感程度及業(yè)務(wù)重要性，按核心、一般、邊緣業(yè)務(wù)分別計(jì)算分?jǐn)?shù)，更貼近業(yè)務(wù)實(shí)際場(chǎng)景，計(jì)算公式為：漏洞積分 = 基礎(chǔ)積分 * 業(yè)務(wù)的等級(jí)系數(shù)如下表：

表1? 積分范圍參考

并且大家可以看到，本次更新將所有業(yè)務(wù)等級(jí)的系數(shù)都上調(diào)了，因此獎(jiǎng)勵(lì)也是上浮了不少，核心業(yè)務(wù)單個(gè)漏洞最高7500元的獎(jiǎng)勵(lì)！！說(shuō)的我都心動(dòng)了，來(lái)看看具體的漏洞獎(jiǎng)勵(lì)列表吧：

表2? 漏洞價(jià)值范圍參考（單位：元）

注：同時(shí)，我們的特殊漏洞現(xiàn)金獎(jiǎng)勵(lì)計(jì)劃沒(méi)有變化，最高50w人民幣的現(xiàn)金獎(jiǎng)勵(lì)，等你來(lái)拿！

2.漏洞報(bào)告打賞

新版評(píng)分規(guī)則除了在積分計(jì)算方式上有所改變，更是新增一個(gè)加分項(xiàng)，即：高質(zhì)量漏洞報(bào)告積分獎(jiǎng)勵(lì)

對(duì)于漏洞描述詳細(xì)、報(bào)告內(nèi)容完整、思路清晰的漏洞報(bào)告，審核人員將對(duì)報(bào)告者進(jìn)行額外獎(jiǎng)勵(lì)（獎(jiǎng)勵(lì)分?jǐn)?shù)范圍10-100，即50元—500元的鼓勵(lì)）

規(guī)范書寫報(bào)告既能鍛煉自己的文檔能力，又能拿到大于等于1個(gè)中危漏洞的獎(jiǎng)勵(lì)，何樂(lè)而不為呢~

該項(xiàng)獎(jiǎng)勵(lì)已經(jīng)實(shí)行一段時(shí)間，到目前為止已有4位白帽子獲得這項(xiàng)獎(jiǎng)勵(lì)：

3.業(yè)務(wù)范圍更新

為了方便大家測(cè)試，本次規(guī)則對(duì)漏洞測(cè)試范圍進(jìn)行了更新，不僅補(bǔ)充了web測(cè)試范圍、還新增了APP和IOT的測(cè)試范圍：

京東商城：

*.jd.com、*.jd.hk等;

1號(hào)店：

*.yhd.com、*.yihaodian.com等;

京東物流

*.jdwl.com 等；

京東海外

*.joybuy.com、*.jd.ru 、*.jd.co.th 、*.jd.id等；

京東醫(yī)藥

*.healthjd.com、*.yiyaojd.com等；

7fresh：

*.7fresh.com等；

京東金融：

*.jr.jd.com、*.baitiao.com、*.jdpay.com、 *.wangyin.com等;

京東云：

*.jcloud.com、*.jdcloud.com 等;

京東App重點(diǎn)關(guān)注：

拍拍二手，7Fresh，1號(hào)店??，京東閱讀，手機(jī)京東，TOPLIFE，京東微聯(lián)，JD.id（印尼版本），JOYBUY（俄羅斯版本）等

IOT業(yè)務(wù)范圍：

核心產(chǎn)品：叮咚二代、Top 、微聯(lián)硬件

一般產(chǎn)品：A1/A1X

邊緣產(chǎn)品：Q1、Q3、A3

以上，我們依據(jù)業(yè)務(wù)受漏洞影響的重要程度做了業(yè)務(wù)等級(jí)劃分，僅為JSRC評(píng)分之目的使用

4.漏洞的掛起和復(fù)查

在新版評(píng)分規(guī)則的漏洞反饋和處理流程中

新增了漏洞的掛起階段，白帽子在提交漏洞時(shí)，若有漏洞描述不清晰或者證據(jù)不充分導(dǎo)致漏洞無(wú)法復(fù)現(xiàn)的問(wèn)題，審核人員會(huì)將漏洞設(shè)置為掛起狀態(tài)，以減少誤忽略的情況。

漏洞復(fù)查階段，白帽子可對(duì)狀態(tài)為已修復(fù)的問(wèn)題進(jìn)行復(fù)查，若問(wèn)題仍存在，可再次提交反饋。JSRC已確認(rèn)的漏洞，3個(gè)月后復(fù)查若問(wèn)題仍然存在，無(wú)論漏洞當(dāng)前狀態(tài)，均可再次提交。（賺錢的法子都寫在這里了，別說(shuō)我沒(méi)告訴你）

5.其他

除了以上這些大的變化，新規(guī)6.0還有以下小改動(dòng)：

1.高、中、低、無(wú)危害漏洞部分內(nèi)容調(diào)整

2. 威脅情報(bào)內(nèi)容及范圍更新

3. 威脅情報(bào)評(píng)分標(biāo)準(zhǔn)更新

4.通用原則條目部分更新

本規(guī)則將于下周二即2018.7.24開始實(shí)行