主要针对我司上网行为管理产品进行网络安全测试,用于检验产品网络安全性。
项目周期:2022.09.03 15.18.50- 2022.09.04 15.18.50
奖金规模:10W+
主要针对我司上网行为管理产品进行网络安全测试,用于检验产品网络安全性。
报名成功后可见。
报名成功后可见。
无需登录,直接获取服务器控制权限,包括但不限于:
1)任意代码执行;
2)系统客户端缓冲区溢出;
3)命令执行类漏洞;
4)文件上传;
5)文件包含;
6)数据库提权等导致可获取系统权限和影响其他组件
攻击者登录后可获得服务器控制权限,执行系统命令,任意读取、下载服务器文件等。
1.获取系统权限的漏洞,包括但不限于:
1)任意代码执行;
2)系统客户端缓冲区溢出;
3)命令执行类漏洞。
4)文件上传;
5)文件包含。
2.严重敏感信息泄漏,包括但不限于:
1)能够造成严重的影响的SQL注入漏洞;
2)任意文件下载;
3)任意文件读取。
3.包含敏感信息的非授权访问,包括但不限于:
1)绕过认证直接访问管理后台,并可以进行相关操作;
2)直接获取内网敏感信息SSRF
比较普通的信息泄露漏洞,包含敏感信息文件泄露;任意文件操作漏洞;越权访问;认证绕过;CSRF;存储型XSS等。
1.需交互方可影响用户的漏洞,包括但不仅限于:
1)存储型 XSS。
2.普通越权操作,包括但不限于:
1)越权查看后台页面,并可以获取敏感信息;
2)越权调用后台接口。
3.可造成中等敏感信息泄露的漏洞,包括但不限于:
1)无严重影响的SQL注入漏洞等
普通逻辑漏洞;普通信息泄露漏洞包括但不限于路径信息泄露、配置信息泄露等;需交互才能获取用户身份信息的漏洞等。
1.其他只能造成轻微影响的漏洞,包含但不限于:
1)反射型 XSS(包括反射型 DOM-XSS);
2)普通 CSRF等。
2.难以利用但存在安全隐患的漏洞,包括但不限于:
1)较难利用的 SQL 注入点;
2)无法控制内容的短信/邮件炸弹
项目已结束,动态不可见!请从个人中心查看相关信息。
项目已结束,成员不可见,请从个人中心查看相关信息。
该企业信息只有已报名用户可见。