某银行2024年安全众测项目
期限:2024.04.10-2024.05.15
测试中
定向召集精通渗透测试的网络安全行业专家以众测形式对某省相关单位的上云应用系统开展网络安全测试,期间全程使用网络安全众测平台提供的VPN进行流量审计。
项目周期:2024.03.25 13.58.22- 2024.03.30 08.00.00
奖金规模:无上限
注意:本项目仅对受邀请的测试人员开放报名!
定向召集精通渗透测试的网络安全行业专家以众测形式对某省相关单位的上云应用系统开展网络安全测试,期间全程使用网络安全众测平台提供的VPN进行流量审计。
报名成功后可见。
报名成功后可见。
1、无需登录,直接获取控制权限,包括但不限于:
1)0day漏洞;
2)命令执行/代码执行/反序列化/文件上传/文件包含等可获取服务器权限的漏洞;
3)存在百万级以上数据信息泄露隐患;(此类问题在奖金标准上可上浮50%-100%。发现信息泄露漏洞时,可申请信息泄露量级证明)
4)其他根据实际情况可被认定的严重漏洞。
1、登录后,获取控制权限,包括但不限于:
1)命令执行/代码执行/反序列化/文件上传/文件包含等可获取服务器权限的漏洞;
2)其他根据实际情况可被认定的高危漏洞。
2、严重逻辑设计缺陷和流程缺陷。包括但不限于:
1)绕过认证直接访问管理后台,获取后台超级管理员权限且可以造成大量核心数据泄露或者可以进行相关操作;
2)未授权访问或者越权,可以造成大量核心数据泄露;
3)通过业务接口批量发送任意伪造内容的消息,可以造成大量核心数据泄露。
3、严重敏感信息泄露。包括但不限于:
1)核心DB的SQL注入漏洞;
2)存在十万级以上数据信息泄露隐患(此类问题在奖金标准上可上浮20%-50%。发现信息泄露漏洞时,可申请信息泄露量级证明);
3)可获取重要系统源码的漏洞。如通过svn与git等渠道泄露,或者通过任意文件读取/下载漏洞获取。
1、需交互方可影响用户的漏洞,包括但不仅限于:
1)存储型 XSS;
2)一些敏感操作的CSRF(如:支付、发布信息、修改敏感信息等的操作)。
2、普通逻辑设计缺陷与流程缺陷,包括但不限于:
1)越权查看后台页面,并可以获取有限的敏感信息;
2)影响范围有限的越权调用后台接口(如越权修改、越权删除等);
3)可以获取有限信息的SSRF(例如:内网存活主机、内网开放端口等,127.0.0.1以及外网IP探测除外);
4)普通系统登录窗口可爆破(需提供成功案例);
5)暴力破解账号密码;
6)绕过验证码等
7) 弱口令。
3、可造成中等敏感信息泄露的漏洞,包括但不限于:
1)无严重影响的后台SQL注入漏洞;
2)数据量有限或者敏感程度有限的信息泄露;
3)源代码或系统日志等信息泄露;
4)一般系统任意文件读取;
5)一般系统任意文件下载。
其他根据实际情况可被认定的低危漏洞。
阿刁123456初级白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
explo1t初级白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
DC3x6实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
jcifox实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
prince初级白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
yudays实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
Aedoo初级白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
balisong中级白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
Jack_Simth实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
zhaozhouqiao实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
50503909@qq.com实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
A2744YD4实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
J&T2050实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 |
该企业信息只有已报名用户可见。
|
|
电子邮箱: vtsupport@cert.org.cn 联系电话: 010-82990999/1000 版权所有 © 2018-2024 国家计算机网络应急技术处理协调中心 京ICP备10012421号 本平台由 北京数字观星科技有限公司 提供技术支持 |