我们现面向社会广泛征集中孚产品相关的漏洞报告与安全情报。经中孚信息安全团队审核确认后，我们将根据漏洞的严重程度、影响范围等因素，给予发现者丰厚的现金奖励。

请将相关信息发送至中孚信息官方安全响应邮箱：psirt@zhongfu.net

漏洞报告请在邮件标题注明「 [漏洞报告] 安全攀登计划 」

威胁情报请在邮件标题注明「 [情报提交] 安全攀登计划 」

参与者在提交漏洞报告或情报线索之后，中孚信息安全团队将第一时间进行审核与评估。若通过审核，您将会收到如下反馈：

安全团队将在7个工作日内对提交内容进行初步审核，并通过邮箱psirt@zhongfu.net发送结果通知。

邮件中将说明漏洞或情报的评估等级、初步影响范围及后续处理意见。

为提高审核效率，建议您按以下格式提交信息：

— 漏洞报告格式

— 情报线索格式

— 产品范围

中孚信息当前在售产品（终端类、网络类等）；已停止维护、停研停售产品不在本次收集范围内。

— 情报范围

中孚信息产品在现网环境中疑似遭受攻击的行为；针对中孚信息产品的0day/1day漏洞、攻击样本、利用方式等。

中孚信息采用多维度标准评估漏洞等级，结合漏洞利用难度、权限提升程度、数据泄露影响等因素，划分为以下四类：

01 严重漏洞（Critical）

可获取系统核心权限，造成大规模控制或数据泄露，如远程代码执行、核心服务控制、任意用户登录等。

02 高危漏洞（High）

可获取系统shell权限、后台敏感数据、重要操作控制，如SQL注入、任意文件读取、逻辑缺陷、敏感信息泄露等。

03 中危漏洞（Medium）

需特定条件交互才能利用，对部分用户产生影响，如存储型XSS、权限绕过、验证码逻辑缺陷等。

04 低危漏洞（Low）

影响有限、利用价值较低，但仍具有一定安全风险，如反射型XSS、CSRF、信息泄露（非核心）等。

中孚信息为漏洞与情报提供现金奖励及荣誉激励，税前金额如下：

漏洞奖励

情报奖励

— 官方荣誉证书：中孚信息将为突出贡献者颁发荣誉证书及纪念礼品。

— 安全顾问邀约：有机会加入中孚信息安全顾问计划，参与更深层次合作。

— 技术沙龙邀请：优秀报告者将受邀参加中孚信息闭门技术沙龙，与安全专家深入交流。

1、同一漏洞/情报，只收录首份。

2、漏洞争议及解决方案：在漏洞/情报的处理过程中，如果报告者对处理流程、等级评定有异议，可通过发邮件至psirt@zhongfu.net进行申诉。

3、测试过程中不能对现网产品的正常运行造成影响，敏感数据获取不超过10条，禁止大规模的扫描行为。

为确保安全漏洞和情报报告的保密性，参与「安全攀登计划」的所有人员必须签署保密协议。无论是通过线上签署，还是线下签署，我们都承诺严格保护所有提交信息的安全性和隐私性，未经授权，不对外透露任何相关内容。

— 保密协议内容概述

— 保密协议签署流程

参与者在提交漏洞报告或情报之后，如果通过审核，我们将附上线上签署链接或线下协议模板，请您根据指引完成签署流程。签署保密协议是获得奖励与官方认证的前提条件。

签署保密协议即表示您同意并遵守上述所有条款，同时有助于确保我们在共同构建安全的数字世界时，能最大程度地保障信息的机密性和合法性。

*以上内容中孚信息拥有最终解释权