HITCONPacific2018ZeroDay漏洞奖励计画.PDFVIP

HITCON Pacific 2018 / ZeroDay 漏洞獎勵計畫  台灣駭客年會 ( Hacks In Taiwan Conference，簡稱 HITCON )，是台灣最大的駭客與資訊安全技 術研討會，純技術的領域中沒有黑與白，我們認為 「駭客」代表著高超的技術、挑戰的精神，因 此 HITCON 始終致力於提供良好的舞台，讓世界各地的駭客們齊聚一堂，於一年一度的盛會中面 對面交流最新、最深入的資安技術。 今年 HITCON Pacific 將結合 HITCON ZeroDay 舉辦 Bug Bounty 漏洞獎勵計畫，我們將邀請各 單位提供其軟硬體產品、網站等，讓參加者進行漏洞挖掘，並提供獎勵予發現弱點或表現優異之 參加者。參與漏洞獎勵計畫的各單位，不僅得以透過 HITCON 大會提升產品知名度，更能由白帽 駭客為該產品的安全性與穩定度進行檢測，使各單位有機會對自家產品有更深一層的瞭解，創造 參加者與參與單位雙贏的局面。 目的  我們期望 Bug Bounty 漏洞獎勵計畫的舉辦，除了讓世界各地的資安高手一同較勁、交流外，也 透過參與單位願意公開檢測漏洞並修補的行為，協助證明該單位產品安全性的提升，同時令各界 更加瞭解資訊安全的力量及重要性。 活動時程  活動預計在十月底公告參與的單位與該單位所提供的網站、軟體或硬體設備型號版本及測試位址 ，並於十一月開始供參加者進行測試，期間成功找到漏洞之參加者須在 HITCON Pacific (12 月 13 ~ 14 日) 會場展示攻擊過程。 活動資訊  活活動動進進行行方方式式  ● 參加漏洞獎勵計畫的企業，將在 HITCON ZeroDay 上公開上架計畫。 ● 參加者於活動時限內找尋該企業許可範圍之漏洞，並至 HITCON ZeroDay 平台上該企業 漏洞獎勵頁面通報，通報內容需註明清楚漏洞描述及截圖說明。 ● 漏洞獎勵的通訊聯繫及獎勵細節皆由企業與參加者自行協議，HITCON 不介入獎勵流程。 ● 在通報的漏洞當中擇優於 HITCON Pacific 大會當天進行展示。 企企業業合合作作方方式式  1. 企業與台灣駭客協會簽署合作契約書 2. HITCON 提供通報平台，包含通報介面、溝通機制等，並針對漏洞獎勵計畫的規範提出建 議，若有漏洞爭議時協助仲裁。 3. 測試期間由甲方提供設備、網路，並維運該測試設備正常運作。 4. 擇優於 HITCON Pacific 會議時公開發表 企企業業需需求求準準備備  ● 若測試目標為主機，建議準備獨立可供測試的主機，並公告此 IP 或網域名稱為測試專 用。若欲測試正式站台，可直接公告正式站台之網域名稱。 ● 若測試目標為硬體設備，需架設多組可供測試的設備，準備連線對外網路，並為獨立線路 避免影響其他主機，公告此 IP 或網域名稱為測試專用。 ● 若測試目標為軟體，須公告軟體的下載位置、版本、checksum，確認測試的版本與計畫 中的相同。 ● 定期監控設備及主機是否正常運作，若因測試故障，則排除故障後重新啟用。 ● （選擇性）公布相關使用文件，如 Protocol、API 等。 ● 決定接受測試漏洞種類及獎金，如 Remote Code Execution、Command Injection、Logic Flaw 等。 ● 定義規範，如不得阻礙其他人測試、不得將服務惡意中斷。 ● 企業需有人員負責裁判，如確認漏洞屬實、種類、獎金等，如有爭議，則請 HITCON 協 調仲裁。 ● 獎金多寡根據漏洞等級而定，由各參與單位自行制定詳細之獎勵發放條件。 參參加加者者通通報報漏漏洞洞流流程程  1. 連至 HITCON ZeroDay 漏洞獎勵計畫頁面 2. 選擇本次參加漏洞獎勵計畫的企業 3. 點選通報漏洞 4. 詳細填寫漏洞描述、攻擊方式、指令、結果截圖、影響，說明漏洞是否存在