奖励说明

评分说明

为鼓励安全人员写出更规范化的模块,平台实行相应的评分机制,其分数,评分细则如下:

公开时间(0.2-5)

(以该模块所针对的漏洞在互联网公开的时间为依据,为方便我们更快的审核,提交时请在模块代码的DisclosureDate属性中如实填写漏洞披露时间。)


<=24H
<=48H
<=72H
>72H
利用模块
5金币
3金币
2金币
0.5金币
辅助模块    
3金币
2金币
1金币
0.2金币
注:H为小时单位,以上时间均以模块提交时间为基准。

模块类型(0.2-3)

(本平台对模块只做辅助模块和利用模块两种类型的划分,即相当于POC和EXP)
  • 利用模块(EXP):1-3金币
  • 辅助模块(POC):0.2-1金币

注:辅助模块必须为可获取到有价值信息的模块,如程序版本信息或重要用户数据等;利用模块必须为可获取到目标设备shell的模块,同时可直接通过metasploit建立会话连接。

数据相关(0.1-3)

  • 对于辅助类模块,平台希望所获取的信息是有价值的,若获取到的敏感信息较多,平台给予的金币也会相应的增加;
  • 漏洞类型、模块类型、模块功能、影响应用等字段的内容是否选择正确,若出现不匹配的情况,平台会扣除相应的金币;
  • 若提交模块时找不到对应的厂商应用,可直接联系平台,平台审核员评定之后会及时加上,并会给予额外的奖励。

漏洞详情(0.1-3)

  • 若漏洞来自其它网站,请将漏洞详情复制过来,但必须完整且排版质量优秀,同时请将漏洞来源的URL写入模块代码的“References”属性中
  • 若漏洞为自己发现,请对漏洞的形成做详细的分析,有自己独到的见解,附上代码、验证截图等,排版质量优秀;
  • 若漏洞详情部分仅仅只是简单的一两句话,如xxxx系统xx文件存在xx漏洞,平台可直接拒绝

漏洞危害(0.1-3)

关于漏洞的危害,平台主要从两个方面进行评定。

  • 漏洞类型:平台目前只收取命令执行、任意文件上传、任意文件删除、代码执行、文件包含、溢出漏洞、sql注入、逻辑漏洞、越权问题、信息泄露等危害性较严重的漏洞。
  • 影响范围:即存在漏洞的应用的通用性,若应用的用户量较大,则获取到的金币会更多,若为小众类的厂商应用,平台将会结合量的大小,考虑是否收录。

代码质量(0.1-1)

代码严格按照metasploit框架规范编写,代码缩进、函数及变量命名清晰明了,有异常、容错等处理机制,存在相对应的代码注释,使代码具有良好的可读性。

验证环境(0.1-3)

  • 为了对提交的模块进行更好的验证,可在提交模块时在验证地址一栏中提交测试地址,也可在模块代码中说明,模块验证地址提交的越多,奖励金币越多。最高不超过3金币;
  • 若同一个应用的多个不同漏洞使用同一个验证地址,平台会采用降低金币的模式进行审核。

修复建议(0-2)

考虑到漏洞防护的重要性,平台希望您能够给出较好的修复建议,修复方案越详细且明确,获得的金币也会越高。

使用方法(0-1)

为了使管理员更快审核,请写上模块的使用方法,因该部分的内容会对外公开,故考虑到厂商的安全,在填写使用方法时,请勿将IP/URL等敏感信息写入进去。

搜索语法(0-3)

考虑到验证地址的时效性以及影响范围的评定,请用户准确的提交能搜索到漏洞应用的搜索关键字,搜索关键字可适用于Google、百度、Bing、ZoomEye、Shodan等主流搜索引擎,提交时请说明所提交的搜索关键字针对的是哪个搜索引擎,可提交多个,提交的越多,所获取的金币也会增加。

额外奖励

  • 对于影响范围较大或是0day之类的漏洞模块,平台会在上述评分机制的基础之上给予额外的奖励,不设上限;
  • 对本平台提出的完善性建议所给予的奖励不在此限制内。

积分说明

MetaScan平台采用金币作为积分单位,本平台对用户所获得的金币可转为较为切实的利益,可进行提现、兑换、消费等。

获取金币

  • 提交模块获得金币
  • 平台上线之初会存在诸多不完善的问题,忘不吝赐教,提出您宝贵的意见或建议,我们会给予奖励

使用金币

  • 可用来提现(需达到50金币即500RMB,金币与现金的兑换比例为1:10)。
  • 可兑换平台内其他人写的模块(除需支付相应金币外还需等级不低于该模块作者的等级)。
  • 可兑换相应的实物奖品(可兑换的物品在后期将会上线)。

提现说明

  • 提现只针对在本平台通过正常途径注册且获得邮箱验证的用户。
  • 提现时需提供正确的联系方式、支付宝账号等,若因信息错误导致未到账等问题自行承担。

等级说明

平台除了奖励金币之外还会奖励相应的经验值,经验值主要涉及到荣誉等级的评定,等级划分细则参考如下:

经验值 称号 等级图标
5000 牛牛
3001-5000 牛九
1501-3000 牛八
1001-1500 牛七
601-1000 牛六
401-600 牛五
201-400 牛四
101-200 牛三
51-100 牛二
10-50 牛一
<10 无牛

本平台参考棋牌游戏欢乐斗牛进行了11个等级的划分,游戏中,每一位参与者都希望自己是赢家,我们提供平台,欢迎来此争夺至高荣誉。

获取经验值

  • 提交模块获得经验值
  • 平台上线之初会存在诸多不完善的问题,忘不吝赐教,提出您宝贵的意见或建议,我们会给予奖励

其它说明

用户提交的模块通过审核之后,所获得的金币与经验值相同,金币在进行消费、兑换查看他人的模块之后,金币会减少,但经验值不会随之减少,同样别人因兑换查看你的模块所带来的金币增加也不会使经验值增加,请知悉,如有疑问请联系我们。