谁最给力?国内各大应急响应中心奖励分析
最近几个月在几个应急响应中心的平台上体验了一下,根据自己的情况,跟大家分享一下国内各大应急响应中心奖励情况。仅仅分析的奖励情况,略带一些简介,不对其进行评论。
分析依据:
1:先从每个平台的兑换平台找出所需兑换币最高、中等、最低的礼品。 2:找出这三个礼品的官方或者平均售价(兑换币数量相同则取售价总平均值或根据具体情况进行处理。),并根据所需兑换币换算出每单位兑换币的价值。 3:根据一些比较容易发现的漏洞的兑换币获得情况,算出这些漏洞的价值。
分析目标:腾讯安全应急中心(TSRC)、网易安全中心、京东应急响应中心(JSRC)、百度安全响应中心(BSRC)
一、腾讯安全应急中心(TSRC)
网址:http://security.tencent.com
国内首个成立的安全应急响应中心,各种规则都很健全以及人性化。
礼品种类数量:53
最高
市场平均价:(7788+7858+7959+7818+7999+7788+7886)/7=7870.86
中等
中等算下来是有两个,由于其中一个是腾讯定制的安全专家专属路由器,不好计算价格,故选择U盘:
市场平均价:(285+355+369+286+299)/5=318.8
最低
最低的也是两个,其中表情公仔貌似市场上没有卖的了,就按QQ令牌了:
官方价格:26
三个全部兑换需要(2100+60+3)=2163兑换币,每个兑换币价值即:(7870.86+318.8+26)/2163=3.80(RMB)
ps:
TSRC因为其公司的QQ的原因,也有Q币的兑换,兑换比为20:100,20个兑换币可以兑换100个Q币,按官方价,即1:5RMB。
TSRC的兑换币是成几何的方式增长的,也就是说,漏洞评分越高,获得的贡献币越高。详见:http://security.tencent.com/uploadimg_dir/other/TSRC.pdf
一个典型的web反射XSS,评级是中,分数基本是3分,按规定获得兑换币:3*10=30,折合30*3.8=114RMB
一个典型的web存储XSS,评级是中,分数基本是5分,按规定获得兑换币:5*10=50,折合50*3.8=190 RMB
一个危害稍大的web存储XSS,评级是高,分数基本是6分,按规定获得兑换币:6*30=180,折合180*3.8=684 RMB
两个危害稍大的客户端存储XSS,评级是高,分数是14分,按规定获得兑换币:14*45=630,折合630*3.8=2390 RMB
一个严重的客户端XSS漏洞,评级是严重,分数是9分,按规定获得兑换币:9*90=810,折合810*3.8=3078 RMB
感谢:黑哥、rasca1、Evi1m0、我自己(排名不分先后)提供漏洞奖励图片。
二、网易安全中心
第二个真正意义上的安全中心(听说第二个是人人,结果玩脱了,不知道真假 = =!)。其中心的礼品兑换价格每个月都有优惠的,所以本次分析仅以2013.10月的兑换价格分析。
礼品种类数量:38
最高
因为没有详细介绍,根据图片搜索的,其型号很可能为:MacBook Pro ME662CH/A 13.3英寸
市场平均价:(11888+11888+11988+12488)/4 = 12063
中等
根据兑换积分取中间值为49,其中需要49的礼品有5种,分别为:
其中网易定制空调毯好计算价格,取其他4种的官方售价之和,再除以4:(138+99+159+125)/4=130.25
最低
官方价格:2
三个全部兑换需要(4999+49+2)=5050兑换币,每个兑换币价值即:(12063+130.25+2)/5050=2.41(RMB)
ps:网易也有其商城的网易一卡通通用点数兑换,兑换比为19:500,19个兑换币可以兑换500点通用点数,按官方价,即1:2.63RMB。
网易安全中心的评分规则详见:《网易安全中心安全报告处理说明》版本号3.1
一个普通的信息泄露,评级为低,获得积分2,按规定获得贡献币:2*1=2,即2*2.41=4.82RMB
一个普通的反射型XSS,评级为低,获得积分3,按规定获得贡献币:3*3=9,即9*2.41=21.62RMB
一个普通的存储型XSS,评级为中,获得积分5,按规定获得贡献币:5*3=15,即9*2.41=36.15RMB
一个普通的存储型XSS,评级为高,获得积分6,按规定获得贡献币:6*5=30,即30*2.41=72.3RMB
一个需要交互可获得用户账号密码的特殊漏洞,主打产品额外系数3,评级为高,获得积分12,按规定获得积分12*5*3=180,即180*2.41=433.8RMB
感谢:Evi1m0、我自己(排名不分先后)提供漏洞奖励图片。
三、京东应急响应中心(JSRC)
第三大应急响应中心,于2013年4月对外开放。
礼品种类数量:23
最高
市场平均价:(5048+5288+4378+4789+4599+4688)/6=4798.33
中等
官方价:599
最低
最低的是4本书,兑换价格为9兑换币。平均价格为:(47.2+48.3+41.3+50.2)/4=46.75
三个全部兑换需要(900+90+9)=999兑换币,每个兑换币价值即:(4798.33+599+46.75)/999=5.45
ps:京东应急响应中心也可以兑换京东商城的实体礼品卡。兑换比为50:200,50个兑换币可以兑换200的礼品卡,按官方价,即1:4RMB,在活动打折期间,兑换比为33:200。
京东应急响应中心的评分规则详见:《京东安全应急响应中心漏洞反馈处理流程说明V1.0》,其积分就为兑换币,不进行等级换算。
一个普通的信息泄露,评级为低,获得积分1
,即1*5.45=5.45RMB
一个典型的反射式XSS,评级为中,获得积分3,即3*5.45=16.35RMB
一个典型的存储式XSS,评级为中,获得积分6,即6*5.45=32.7RMB
一个严重的存储式XSS,评级为高,获得积分8,即8*5.45=43.6RMB
一个getshell的漏洞,评级为严重,获得积分9,即9*5.45=49.05RMB
一个struts漏洞,评级为严重,获得积分9,即9*5.45=49.05RMB
感谢:Evi1m0、af.test、我自己(排名不分先后)提供漏洞奖励图片。
四、百度安全响应中心(BSRC)
百度安全中心于2013年6月对外开放。
礼品种类数量:33
最高
市场平均价:(5048+5288+4378+4789+4599+4688)/6=4798.33
中等
面包机:
ipod:
市场平均价:(359+359+368+379+399+399+329+330+399+300)/10=362.1
最低
U盘:
TF:
俯卧撑架:
市场平均价:(29.9+31.6+31.9+32.9+35+43+31.6+29.9+31.8+31.9+31.9+39+39.9+29+39+39+39+28+45)/20=32.965
三个全部兑换需要(1200+100+15)=1315兑换币,每个兑换币价值即:(4798.33+362.1+32.965)/1315=3.95(RMB)
百度安全中心的评分规则详见:《百度安全响应中心漏洞奖励处理细节V2.0》,其积分就为兑换币,不进行等级换算。
一个典型的反射式XSS,评级为中,获得积分10,即10*3.95=39.5RMB
一个典型的存储式XSS,评级为中,获得积分15,即15*3.95=59.25RMB
ps:BSRC的动态中一直都是给的十几分的,超过二十分的较少,故只截图这两个典型的吧,
感谢:l4yn3 、我自己(排名不分先后)提供漏洞奖励图片。
总结
从兑换币的价值来看,这几个平台的顺序为:
京东应急响应中心(5.45)>百度安全响应中心(3.95)>腾讯安全应急中心(3.8)>网易安全中心(2.41)
从典型的反射XSS来看,这几个平台的顺序为:
腾讯安全应急中心(114)>百度安全响应中心(39.5)>网易安全中心(21.62)>京东应急响应中心(16.35)
从典型的存储XSS来看,这几个平台的顺序为:
腾讯安全应急中心(190)>百度安全响应中心(59.25)>网易安全中心(36.15)>京东应急响应中心(32.7)
从最高价值漏洞(最高积分)来看,这几个平台的顺序为:
腾讯安全应急中心(web2280、客户端3420、DZ!6840)>网易安全中心(1084.5)>百度安全响应中心(592.5)>京东应急响应中心(54.5)
其实,这种排序仅在难度相同的前提下的,实际上,各个公司的漏洞获取难度相差很大,例如京东的一些漏洞很容易找到,京东对漏洞审核比较人性化,导致其积分很容易获取,认真的话,一天就能获得20+分。而腾讯和百度就相对较难了,找漏洞耗时耗力,例如腾讯就不收取一些简易的self-xss,而百度的积分给的很低(也有可能是没人提交高危漏洞),至笔者写稿时的百度积分奖励如下:
另外还有些不恰当之处,各个平台礼品的兑换比例有高有低,导致实际的积分换不到或者换到高于相应价格的礼品。例如百度一个存储型的XSS,换算为59.25RMB,其实仅仅只能换个TF卡而已,价值32.965RMB;而腾讯一个反射XSS,换算为114RMB,却能换10个令牌,价值260RMB;相对而言,京东的物价算是最为稳定的,一直保持在1:5RMB。
大家有闲的话,可以把各个平台的所有产品总价相加后除以总所需兑换币来试试。这种排序肯定跟现实的有不少差距,但是以数据来说,的确是这样,大家就当乐呵乐呵吧。
欢迎继续修正及补充