Q:什么是漏洞盒子弱点挖掘赛?
A:漏洞盒子弱点挖掘赛(Vulbox to Find Vulnerability Match,简称VFVM),是由漏洞盒子主办的跨年度赛季漏洞挖掘积分比赛。比赛分常规赛和季后赛两个阶段进行,排名根据漏洞积分计算,最终根据排行名次获得相应年度大奖及荣誉。
Q:年度赛季的周期是怎么样的?
A:一个年度赛季由4个常规赛+1个季后赛组成
常规赛:一般持续3个月,全民可参与
季后赛:一般持续1个月,定向邀请制,会根据白帽子全年的赛季排名,择优邀请
每个年度赛季开始前,平台会另行公布常规赛赛季时间。2018年具体常规赛赛季时间排期如下:
第一赛季:1月27号-4月26号
第二赛季:4月26号-7月2号
第三赛季:7月2号-9月30号
第四赛季:9月30号-12月1号
季后赛:12月1号-1月15号
Q:赛季积分会清零吗?
A:每个赛季开始,上个赛季积分会清零。
Q:为什么赛季积分要清零?
A:无论漏洞盒子平台新晋白帽,还是老司机,让每个白帽子都能从新赛季同一起跑线上公平竞争。
Q:总积分会清零吗?
A:总积分是白帽子历史赛季累加积分,不会清零。
Q:新赛季中RANK有什么用?
A:在新版本当中Rank的意义已经成为身份和资历的象征,并且以后提交漏洞依然会根据之前的标准给予Rank奖励。在新赛季中,第一个赛季开始时会依据以前的Rank值给予相应比例的基础积分,以保证你的排名和Rank排名没有太大变化。在之后的赛季中将不做参考。
Q:赛季里面有哪些等级?
A:赛季的大等级从高到底依次分为:传说段位,钻石段位,黄金段位,白银段位,青铜段位
每个大段位会分为三个小等级(除传说段位外),例如:钻石1,钻石2,钻石3,黄金1,黄金2,黄金3等依次类推到青铜段位
Q:晋级到每个段位需要哪些条件,每个段位有人数限定么?
A:晋级每个段位的条件,是达到相对应的积分,每个赛季开始,每个人的积分基础都为0,(意味着每个赛季结束积分都会清零),每个赛季每个段位人数不限额,主要你达到相对应的积分,就可以晋升到相对应的段位。
Q:到达每个段位,需要相对应达到多少积分呢?
A:各个段位所需到达的积分如下:
Q:赛季中什么样的漏洞可以获得积分?会扣分么?
A:互联网项目,高级项目漏洞,入住SRC项目等所有项目中只要漏洞被确认(称之为有效漏洞)就可以得到积分。当然如提交无效漏洞(指无法复现的漏洞)会相对应扣分(具体扣分标准可参考帮助中心→漏洞盒子积分系统→计算方法)
Q:提交漏洞被判定为重复,是否有积分?
A:重复漏洞没有积分。
Q:每个段位的赛季积分是怎么算的?所有得到的积分都算在段位积分里面么?
A:所有的积分会根据积分多少,判断成相对应的星级,每个段位会收取相对应不同星级的积分,段位越高,收的星级范围越少,具体详情如下:
Q:积分跟哪些维度有关?各等级漏洞会相对应给多少积分?不同星级都代表多少分值的积分?
A:积分主要从三个角度去判断,厂商类型,漏洞等级,报告质量
具体等级对应积分多少和不同星级代表的分值积分如下:
Q:厂商类型划分原则是什么?
A:漏洞盒子厂商根据其互联网线上业务规模划分为A类,B类,C类。厂商的分类是我们根据新网络安全法中第三十一条中规定的国家重要行业和领域,以及百度权重和Alexa的流量排名统计,以及企业资产数量等信息综合考虑评定。根据厂商等级的不同白帽子提交漏洞后得到的奖励也会不同,A类奖励最高C类最低。
Q:什么是资产范围?
A:大多数的企业存在虚拟资产庞杂资源投入选择性侧重的问题,为了保证整体互联网漏洞收取的价值尽可能合理,我们为企业审核漏洞时提供了资产范围的选择,结合漏洞等级给出漏洞最终判定。
资产范围分为三个:核心资产,普通资产,边缘资产
核心资产:企业业务及数据的保护重点
普通资产:涉及企业非核心业务,一旦发生安全事故会对企业造成一定的影响。
边缘资产:和企业业务没有直接关系
Q:资产范围和赛季积分的关系?
A:当一个漏洞的资产范围被判定为核心资产时,漏洞所获得的积分会按照正常的积分计算进行。当被判定为普通资产时,我们的企业分类参数将会被降维处理参与运算。当被判定为边缘资产时,我们的企业分类参数将会被降2维处理参与运算。具体参考如下表格:
Q:怎么看提交的漏洞是哪类厂商?
A:已入驻平台厂商:可通过https://www.vulbox.com/statistics/lists搜索查看对应厂商类型。
未入驻平台厂商:可自行参考百度流量权重及Alexa排名。具体标准详见帮助中心