严重
高危
中危
低危
联想对自身产品和业务的安全问题非常重视,也一直致力于保障用户安全,我们希望通过联想集团安全响应中心加强与业界个人.组织及公司密切合作,来提升联想的整体安全水平。
联想对于保护用户利益,帮助联想安全提升的白帽子黑客,我们给予感谢和回馈,每一位报告者反馈的问题都有专人进行跟进、分析和处理,并及时给予答复。
联想反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏.损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户资料、入侵业务系统、修改、窃取相关系统资料、恶意传播漏洞或数据。
联想认为每个安全漏洞的处理与整个安全行业的进步,都离不开各方的共同合作。希望企业、安全公司、安全组织、安全研究者一起加入到“合作式的漏洞披露和处理”过程中来,一起为建设安全健康的互联网而努力。
欢迎加入联想安全应急中心白帽子技术交流QQ群(373443998)
声明:
在漏洞未修复前,我们希望您不要公开和传播。我们承诺:对每一份报告,都会有专门的安全人员进行评、跟进并及时反馈最新的处理结果,并且我们会按照“漏洞激励方案”对您的付出表示感谢。
测试前须知,请查阅置顶公告内容:
联想SRC禁止上传webshell,如发现存在上传WebShell,一经查实,会冻结上传者在LSRC的已发放且未提取的奖金,并设置其为黑名单,禁止再向Lenovo SRC提交漏洞。
联想安全应急响应中心于2019年4月1日上线《联想漏洞评分和奖励标准 V4.0》,即日起,LSRC将按照《联想漏洞评分和奖励标准 V4.0》进行漏洞审核与评分,请各位知晓。
特别注意,以下事项请认真查看并留意。
1)漏洞报告需认真填写,标题如“某系统某漏洞”等需写明具体系统与漏洞。
举例:
a)联想商城搜索处存在反射型xss(正确)
b)某系统反射型xss(错误)
2)报告中需提供涉及到风险点的链接(文字版可复制)
举例:
a)漏洞报告提供了可复制的漏洞链接,与相应的证明截图,外加条理清晰的描述文字。(正确)
b)漏洞报告中只提供了截图和过少的文字描述,并未提供实际的风险点链接。(错误)
PS:联想全资子公司、联想投资、联想控股的公司的漏洞,以及与联想完全无关的漏洞,不予审核通过。
如:阳光雨露资产下漏洞暂不收录:*.sunits.com
安想、智慧医疗相关资产暂不收录,域名接管问题内部整改中暂不收录
*.lenovo.com
*.lenovo.com.cn
*.lenovomm.com
*.lenovo.cn
*.lenovo.net
*.motorola.com.cn
*.baiying.cn
