“粤盾-2022”网络安全众测竞赛 活动通知

发布时间:2022-07-12 10:02 / 访问量:5546

    为进一步提升广东省网络安全防护能力,“粤盾-2022”软件产品安全众测活动现正式开启线上报名,具体信息如下:


    一、测试对象

    本次众测围绕广东省内软硬件产品进行安全众测,产品情况如下:

序号

产品类型

项目名称
1 YD1-信息系统

YD1-协同办公平台

2

YD2-信息系统

YD2-数字化办公平台

3

YD3-信息系统

YD3-智能低代码开发平台

4

YD4-硬件系统

YD4-智能机顶盒

5

YD5-信息系统

YD5-健康管理系统

6

YD6-信息系统

YD6-数字化营销服务平台

7

YD7-信息系统

YD7-网站

8

YD8-信息系统

YD8-智慧工作台


    二、众测规则

    本次众测活动通过网络安全众测平台开展工作,参加众测的产品在网络安全众测平台发布项目。参加众测的测试人员通过网络安全众测平台进行测试,并通过众测平台提交漏洞,由项目设置的技术委员会评价漏洞价值,给予测试人员比赛积分和奖励。

相同漏洞,以初次提交该漏洞的测试人员为准,请发现漏洞及时提交以便确认成绩。

    比赛测试过程全程审计,如果发现参赛者有恶意攻击行为,将取消参赛者的比赛资格,已获得的积分清零。


    三、奖励方式

    奖励方式,本次众测共8个产品,单项产品最高奖励累积为5万元整,设立漏洞奖励标准详见附件1。

    个人:根据参赛者所发现的漏洞等级兑换奖励资金,同时按照众测平台积分规则进行积分,积分累积排名前三名颁发荣誉证书。

    安全厂商:按发现漏洞等级进行积分,排名前三厂商颁发荣誉证书并于“粤盾-2022”闭幕式现场颁奖。


    四、参赛方式

    本次众测面向平台所有完成实名注册人员,请有意参加众测的人员及时报名相关测试项目。尚未申请注册平台测试人员的,请及时注册参与活动。


    五、赛程安排

    报名时间:7月15日。

    测试时间:7月16日 09:30至8月7日 18:00

    报名方式:通过网络安全众测平台实名认证后参与相关项目。


    附件1:漏洞奖励标准


漏洞等级

定级标准

奖金范围

严重漏洞

1、无需登录,直接获取控制权限,包括但不限于:

  1)任意代码执行/命令执行类;

  2)任意文件包含/任意文件上传类;

  3)通过SQL注入进行数据库提权等导致可获取系统权限;

  4)反序列化RCE;

  5)缓冲区溢出;

  6)其他getshell。

硬件系统(10000)

信息系统(5000)

高危漏洞

1、登录后,获取控制权限,包括但不限于:

  1)任意代码执行/命令执行类;

  2)任意文件包含/任意文件上传类;

  3)通过SQL注入进行数据库提权等导致可获取系统权限;

  4)反序列化RCE;

  5)其他getshell。


2、严重逻辑设计缺陷和流程缺陷。包括但不限于:

  1)绕过认证直接访问管理后台,获取后台超级管理员权限且可以造成大量核心数据泄露或者可以进行相关操作;

  2)未授权访问或者越权,可以造成大量核心数据泄露

  3)任意用户登录;

  4)任意用户密码重置;

  5)越权修改其他用户信息;

  6)任意核心数据删除;

  7)任意用户删除;

  8)直接获取内网敏感信息SSRF;

  9)通过业务接口批量发送任意伪造内容的消息。

硬件系统(5000)

信息系统(2000)

中危漏洞

1、需交互方可影响用户的漏洞,包括但不仅限于:

  1)存储型 XSS;

  2)一些敏感操作的CSRF(如:支付、发布信息、修改敏感信息等的操作)。


2、普通逻辑设计缺陷与流程缺陷,包括但不限于:

  1)越权查看后台页面,并可以获取有限的敏感信息;

  2)影响范围有限的越权调用后台接口(如越权修改、越权删除等);

  3)可以获取有限信息的SSRF(例如:内网存活主机、内网开放端口等,127.0.0.1以及外网IP探测除外);

  4)普通系统登录窗口可爆破(需提供成功案例);

  5)暴力破解账号密码;

  6)绕过验证码等

  7) 弱口令。


3、可造成中等敏感信息泄露的漏洞,包括但不限于:

  1)无严重影响的后台SQL注入漏洞;

  2)数据量有限或者敏感程度有限的信息泄 露;

  3)源代码或系统日志等信息泄露;

  4)任意文件读取;

  5)任意文件下载。

硬件系统(2000)

信息系统(500)

低危漏洞

1、其他只能造成轻微影响的漏洞,包含但不限于:

  1)反射型 XSS(包括反射型 DOM-XSS);

  2)普通 CSRF 等。


2、难以利用但存在安全隐患的漏洞,包括但不限于:

  1)较难利用的 SQL 注入点;

  2)无法控制内容的短信/邮件炸弹;

  3)URL跳转;

  4)系统的可撞库接口等。


3、轻微信息泄露漏洞,包括但不限于:

  1)可登录后台但无权限或无数据操作;

  2)phpinfo泄露;

  3)配置信息泄露;

硬件系统(200)

信息系统(200)


推荐项目

更多