该项目主要内容为对我行全辖范围的互联网应用系统开展安全测试,目的为最大限度地发现我行应用系统的安全漏洞,发现更多更全的安全风险和威胁。
项目周期:2022.11.12 09.57.34- 2022.11.13 09.57.34
奖金规模:无上限
该项目主要内容为对我行全辖范围的互联网应用系统开展安全测试,目的为最大限度地发现我行应用系统的安全漏洞,发现更多更全的安全风险和威胁。
报名成功后可见。
报名成功后可见。
1.可获取服务器权限的漏洞,包括但不限于任何途径实现的远程任意命令执行、任意文件上传、数据库提权等导致可获取系统权限和影响其他组件、可导致代码执行的XXE、可扩大攻击面的漏洞。
2.可造成严重信息泄漏的漏洞,包括但不限于能够造成严重的影响和获取客户数据的SQL注入漏洞(如批量拖库、新增、删除数据、命令执行等)、全站源代码泄漏、任意文件下载,以及其他任何可造成企业重要数据泄漏的漏洞。能够造成较为严重风险的逻辑绕过漏洞、任意账号密码修改、直接认证绕过、
3.能够造成大量资金损失〈单笔可造成1万元以及以上或可以批量操作的〉的漏洞。
4.移动APP权限漏洞,包括但不限于任意本地代码执行,可利用的堆栈溢出、本地提权、本地代码执行、文件关联DLL劫持等可以获取APP非自有权限的漏洞。
5.其它可造成严重危害的漏洞。
1.需同用户进行交互才可被利用的严重漏洞,句括但不限于存储型XSS、可在低交互下完成密码修改等核心交易的CSRF等。
2.可造成中等敏感信息泄露的漏洞,包含无严重影响的SQL注入漏洞。
3.可造成较为严重的逻辑漏洞,包括但不限于任意修改用户资料、能够批量越权查询的或查询数据种类三种及以上的或者可造成严重信息泄露的越权查询、涉及关键业务操作的越权操作漏洞、任意执行用户操作、会话固定、会话重放、仅造成少量资金损失的资金篡改类漏洞、严重业务流程缺陷、重要配置修改等。
4.由第三方组件或库导致的本系统存在较为严重安全性的漏洞。
5.在云盘、开源代码库等泄露的信息,可导致我行存在较高的信息泄露风险、监管风险、声誉风险的。
6.其它可造成中等危害的漏洞。
1.可造成轻微影响的信息泄露漏洞,包括但不限于非授权直接访问后台管理页面、目录遍历、密钥泄露、可获取内网信息的SSRF、无法批量越权或越权查询信息有限的越权漏洞等。
2.可造成轻微影响的逻辑漏洞,包括但不限于缺乏账户登录限制、缺乏会话注销、任意手机邮箱注册、口令规则过弱可爆破、撞库、风险较低的逻辑绕过漏洞或仅能绕过部分步骤的逻辑漏洞等。
3.其他可造成轻微影响的漏洞,包括但不限于URL跳转漏洞、反射型XSS(含DOM型XsS)、可造成轻微影响的csrf 漏洞等。
4.移动APP拒绝服务漏洞(不含Android、iOS系统漏洞),包括但不限于由组件权限、Android组件权限暴露、普通应用权限引起的可直接结束客户端进程的漏洞。
5.移动AP存在的安全漏洞,包括但不限于HTML页面劫持、第三组件引起的漏洞等
6.移动APP安全保护机制缺失,包括但不限于未关闭测试模式、开启任意备份功能、允许任意调试、权限配置不当、未开启堆栈保护器等。
7.可导致较为严重的移动APP敏感信息泄露的漏洞(不含Android、iOS系统漏洞),包括但不限于包含敏感信息的调试信息泄露、数据库可读取可篡改、资源文件可读取可篡改、重要数据硬编码等。
8.资源消耗类漏洞,如短信轰炸等。
9.在云盘、开源代码库等泄露的信息,可导致我行存在轻微的信息泄露风险、监管风险、声誉风险的。
10.其它可造成轻度危害的漏洞。
项目已结束,动态不可见!请从个人中心查看相关信息。
项目已结束,成员不可见,请从个人中心查看相关信息。
该企业信息只有已报名用户可见。