全面检测互联网系统的潜在安全漏洞,提升系统整体安全性。
项目周期:2024.09.09 00.00.00- 2024.09.15 00.00.00
奖金规模:无上限
注意:本项目仅对受邀请的测试人员开放报名!
全面检测互联网系统的潜在安全漏洞,提升系统整体安全性。
报名成功后可见。
报名成功后可见。
1、直接获取核心系统权限的漏洞(服务器权限、PC 客户端权限)。 包括但不仅限于远程 命令执行、任意代码执行、上传获取 Webshell、 SQL 注入获取系统权限、缓冲区溢出。
2、严重的敏感信息泄漏。包括但不仅限于核心 DB(资金、身份、交 易相关)的 SQL 注入,可获取大量核心用户的身份信息、订单详细信 息、银行卡详细信息等接口问题引起的核心敏感信息泄露。
3、严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过核心业务 接口无限制任意账号资金消费、批量修改任意帐号密码漏洞。
4、经综合评估认定的其他严重安全漏洞。
5、漏洞定级存在争议时以甲方和乙方共同商定为准。
1、可获取服务器权限的漏洞,包括但不限于通过任何途径实现的远 程任意命令执行、任意文件上传、数据库提权等导致可获取系统权限 和影响其他组件、可导致代码执行的XXE、可扩大攻击面的漏洞。
2、敏感信息越权访问。包括但不仅限于绕过认证直接进入管理后台、 重要后台弱密码、获取大量内网敏感信息的SSRF、服务器任意文件读 取等。
3、涉及交易的越权操作、支付逻辑绕过(需最终利用成功)。
4、严重的逻辑设计缺陷和流程缺陷。 包括但不仅限于任意用户登录 漏洞、批量修改任意账号密码漏洞、涉及企业核心业务的逻辑漏洞(资 源消耗类漏洞如验证码爆破除外)。
5、大范围影响用户的其他漏洞。包括但不仅限于重要页面可自动传 播的存储型XSS、可获取管理员认证信息且成功利用的存储型XSS等。
6、经综合评估认定的其他高危安全漏洞。
7、漏洞定级存在争议时以甲方和乙方共同商定为准。
1、需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型 XSS,涉及核心业务的CSRF等。
2、可造成中等敏感信息泄露的漏洞,包含无严重影响的 SQL 注入漏洞。
3、 可造成较为严重的逻辑漏洞,包括但不限于任意修改用户资料、 能够批量越权查询的或查询数据种类三种及以上的或者可造成严 重信息泄露的越权查询、涉及关键业务操作的越权操作漏洞、任 意执行用户操作、会话固定、会话重放、仅造成少量资金损失的 资金篡改类漏洞、严重业务流程缺陷、重要配置修改等。
4、由验证码逻辑导致任意账户登陆、任意密码找回等系统敏感操作 可被爆破成功造成的漏洞。
5、由第三方组件或库导致的本系统存在较为严重安全性的漏洞。
6、移动 APP 自身存在的安全漏洞(不含 Android、IOS 等系统漏洞), 包括但不限于存在可被利用的组件、APK 代码可篡改可执行等漏 洞。
7、在云盘、开源代码库等泄露的信息,可导致我行存在较高的信息 泄露风险、监管风险、声誉风险的。
8、本地保存的敏感认证密钥信息泄露(需能做出有效利用)。
9、经综合评估认定的其他中危安全漏洞。
10、漏洞定级存在争议时以甲方和乙方共同商定为准。
1、可造成轻微影响的信息泄露漏洞,包括但不限于目录遍历、密钥 泄露、可获取内网信息的 SSRF、无法批量越权或越权查询信息有限 的越权漏洞等。
2、可造成轻微影响的逻辑漏洞,包括但不限于缺乏账户登录限制、 缺乏会话注销、任意手机邮箱注册、口令规则过弱可爆破、撞库、风 险较低的逻辑绕过漏洞或仅能绕过部分步骤的逻辑漏洞等。
3、其他可造成轻微影响的漏洞,包括但不限于 URL 跳转漏洞、反射 型 XSS、可造成轻微影响的 csrf 漏洞等。
4、移动APP拒绝服务漏洞(不含Android、i0S系统漏洞),包括但不限 于由组件权限、Android 组件权限暴露、普通应用权限引起的可直接 结束客户端进程的漏洞。
5、移动APP存在的安全漏洞,包括但不限于HTML页面劫持、第三组件 引起的漏洞等
6、移动APP安全保护机制缺失,包括但不限于未关闭测试模式、开启 任意备份功能、允许任意调试、权限配置不当、未开启堆栈保护器等。
7、可导致较为严重的移动 APP 敏感信息泄露的漏洞(不含 Android、i0S系统漏洞),包括但不限于包含敏感信息的调试信息泄 露、数据库可读取可篡改、资源文件可读取可篡改、重要数据硬编码 等。
8、资源消耗类漏洞,如短信轰炸等。
9、在云盘、开源代码库等泄露的信息,可导致我行存在轻微的信息 泄露风险、监管风险、声誉风险的。
10、经综合评估认定的其他低危安全漏洞。
11、漏洞定级存在争议时以甲方和乙方共同商定为准。
暂无成员信息!
该企业信息只有已报名用户可见。