[20200628]关于提高严重漏洞奖励的公告

公告编号:作者:HSRC发布日期:2020/06/28

从即日起至2020年7月12日23:59(已提交时间为准),华住酒店集团(*.huazhu.com)严重级别漏洞最高可至1万元。

包含华住酒店集团主体的以下域名:

*.huazhu.com

*.htinns.com

*.hantinghotels.com

子公司不在本次严重级别提高奖励的测试范围,包括但不限于以下子公司域名:

*.cjia.com

*.h-world.com.cn


严重漏洞标准以"[20191017]华住安全响应中心平台评分和奖励标准V0.2"为基底判定,增加包括但不限于以下条件:

1.获取生产服务器内网权限

2.Getshell

3.可一次性获取大量用户、公司信息的重要的业务系统

4.可触达不限于域控、邮件服务器等重要业务系统的严重漏洞


以下情况可能会产生降权评定:

1.测试环境。

2.已知修复中。

3.内部系统监控发现,在提交漏洞前已被处理。


严禁使用扫描器等自动化工具进行攻击探测,获取到权限后,严禁进行横向渗透测试。

通过前置漏洞引发的后续漏洞,除特殊情况外按一个漏洞计算。

进行敏感或可影响到生产网业务系统的测试行为,请提前报备后再进行操作。