某银行2024年安全众测项目
已暂停

为提升湖北银行的整体网络安全建设水平,提升安全管理能力,拟开展安全众测工作。旨在借助专业安全公司的方法、技术和工具,对湖北银行的互联网暴露资产开展渗透众测,充分发现存在的安全漏洞和隐患。

项目周期:2024.04.10 09.44.13- 2024.05.15 18.00.00

奖金规模:无上限

注意:本项目仅对受邀请的测试人员开放报名!

简介

为提升湖北银行的整体网络安全建设水平,提升安全管理能力,拟开展安全众测工作。旨在借助专业安全公司的方法、技术和工具,对湖北银行的互联网暴露资产开展渗透众测,充分发现存在的安全漏洞和隐患。

测试范围

报名成功后可见。

测试说明

报名成功后可见。

严重漏洞 0.00 ~ 12000.00

1、无需登录,直接获取核心服务器控制权限,包括但不限于:

1)任意代码执行/命令执行类;

2)任意文件包含/任意文件上传类;

3)通过SQL注入进行数据库提权等导致可获取系统权限;

4)反序列化RCE;

5)其他getshell。

2、核心系统的严重敏感信息泄漏,包括但不限于:

1)核心 DB(用户信息、交易信息) 的 SQL 注入;

2)可获取大量用户的身份信息、订单信息、银行卡信息等多维度的敏感信息泄露。

3、核心系统的严重逻辑设计缺陷和流程缺陷。包括但不限于:

1)通过业务接口批量发送任意伪造内容的消息;

2)任意账号资金消费或窃取;

3)批量修改任意帐号密码;

4)越权修改其他用户重要信息;

5)进行订单关键操作;

6)重要业务配置修改等较为重要的越权行为漏洞。

4、可直接获取管控系统的控制权限,包括但不限于:

1)堡垒机;

2)域控;

3)业务与分发系统。

高危漏洞 0.00 ~ 8500.00

1、直接获取一般服务器控制权限,包括但不限于:

1)任意代码执行/命令执行类;

2)任意文件包含/任意文件上传类;

3)通过SQL注入进行数据库提权等导致可获取系统权限;

4)反序列化RCE;

5)其他getshell。

2、一般系统的敏感信息泄漏,包括但不限于:

1)一般系统的前台 SQL 注入;

2)通过 SVN 信息泄漏、 Git 信息泄露导致的系统源码泄露。

3、一般系统的严重逻辑设计缺陷和流程缺陷。包括但不限于:

1)绕过认证直接访问管理后台,获取后台超级管理员权限且可以造成大量核心数据泄露或者可以进行相关操作;

2)任意用户登录;

3)任意用户密码重置;

4)越权修改其他用户信息;

5)任意核心数据删除;

6)任意用户删除;

7)一般系统的各种支付绕过;

8)直接获取内网敏感信息SSRF;

9)核心系统弱口令漏洞。

4、访问一般系统任意文件的漏洞,包括但不限于:

1)任意文件读取;

2)任意文件下载。

中危漏洞 0.00 ~ 5000.00

1、需交互方可影响用户的漏洞,包括但不仅限于:

1)存储型 XSS;

2)一些敏感操作的CSRF(如:支付、发布信息、修改敏感信息等的操作)。

2、普通逻辑设计缺陷与流程缺陷,包括但不限于:

1)越权查看后台页面,并可以获取有限的敏感信息;

2)影响范围有限的越权调用后台接口(如越权修改、越权删除等);

3)可以获取有限信息的SSRF(例如:内网存活主机、内网开放端口等,127.0.0.1以及外网IP探测除外);

4)普通系统登录窗口可爆破(需提供成功案例);

5)普通系统弱口令。

3、可造成中等敏感信息泄露的漏洞,包括但不限于:

1)无严重影响的后台SQL注入漏洞;

2)数据量有限或者敏感程度有限的信息泄露;

3)源代码或系统日志等信息泄露。

低危漏洞 0.00 ~ 800.00

1、其他只能造成轻微影响的漏洞,包含但不限于:

1)反射型 XSS(包括反射型 DOM-XSS);

2)普通 CSRF 等。

2、难以利用但存在安全隐患的漏洞,包括但不限于:

1)较难利用的 SQL 注入点;

2)无法控制内容的短信/邮件炸弹;

3)URL跳转;

4)系统的可撞库接口等。

3、轻微信息泄露漏洞,包括但不限于:

1)可登录后台但无权限或无数据操作;

2)phpinfo泄露;

3)配置信息泄露。

  • 2024-04-26
    平台更新了本项目的信息。
  • 2024-04-26
    本项目继续测试,用户可以继续提交漏洞。
  • 2024-04-26
    本项目暂停测试,暂不继续接受漏洞。
  • 2024-04-26
    本项目继续测试,用户可以继续提交漏洞。
  • 2024-04-19
    0xc1kt报名参加了本项目
  • 2024-04-18
    wgcz报名参加了本项目
  • 2024-04-18
    Chi1d报名参加了本项目
  • 2024-04-18
    bobsec报名参加了本项目
  • 2024-04-18
    hlx报名参加了本项目
  • 2024-04-17
    darkroom报名参加了本项目
  • 2024-04-17
    白猫乐报名参加了本项目
  • 2024-04-16
    abcdz报名参加了本项目
  • 2024-04-15
    虚空报名参加了本项目
  • 2024-04-15
    thinks报名参加了本项目
  • 2024-04-12
    平台更新了本项目的信息。
  • 2024-04-10
    本项目开始测试。
  • 2024-04-10
    bumian报名参加了本项目
  • 2024-04-10
    xrm报名参加了本项目
  • 2024-04-10
    ZxDecide报名参加了本项目
  • 2024-04-08
    本项目开始接受用户报名。
  • 2024-04-08
    企业发布了本项目,等待开始。

ZxDecide

实习白帽
发现漏洞: * 个, 已确认漏洞: * 个

thinks

实习白帽
发现漏洞: * 个, 已确认漏洞: * 个

虚空

实习白帽
发现漏洞: * 个, 已确认漏洞: * 个

abcdz

实习白帽
发现漏洞: * 个, 已确认漏洞: * 个

白猫乐

实习白帽
发现漏洞: * 个, 已确认漏洞: * 个

darkroom

实习白帽
发现漏洞: * 个, 已确认漏洞: * 个

hlx

实习白帽
发现漏洞: * 个, 已确认漏洞: * 个

bobsec

实习白帽
发现漏洞: * 个, 已确认漏洞: * 个

Chi1d

实习白帽
发现漏洞: * 个, 已确认漏洞: * 个

wgcz

实习白帽
发现漏洞: * 个, 已确认漏洞: * 个

0xc1kt

实习白帽
发现漏洞: * 个, 已确认漏洞: * 个

xrm

实习白帽
发现漏洞: * 个, 已确认漏洞: * 个

bumian

实习白帽
发现漏洞: * 个, 已确认漏洞: * 个

该企业信息只有已报名用户可见。

推荐项目

更多