JX2024-01-某省相关单位应用系统网络安全测试
期限:2024.07.29-2024.08.11
已暂停
通过网络产品的线下集中检测,及时发现并识别产品可能存在的安全漏洞,进而督促产品厂商及时修复安全漏洞、更新升级产品,从而不断提升网络产品的安全性能。
项目周期:2024.12.11 09.07.21- 2024.12.13 18.30.00
奖金规模:无上限
注意:本项目仅对受邀请的测试人员开放报名!
通过网络产品的线下集中检测,及时发现并识别产品可能存在的安全漏洞,进而督促产品厂商及时修复安全漏洞、更新升级产品,从而不断提升网络产品的安全性能。
报名成功后可见。
报名成功后可见。
1、无需登录,直接获取核心控制权限,包括但不限于:
1)任意代码执行/命令执行类;
2)任意文件包含/任意文件上传类;
3)通过SQL注入进行数据库提权等导致可获取系统权限;
4)反序列化RCE;
5)其他getshell。
2、核心系统的严重敏感信息泄漏,包括但不限于:
1)核心 DB的 SQL 注入;
2)可获取大量用户的敏感信息。
3、核心系统的严重逻辑设计缺陷和流程缺陷。包括但不限于:
1)通过业务接口批量发送任意伪造内容的消息;
2)批量修改任意帐号密码;
3)越权修改用户重要信息;
4)重要业务配置修改等较为重要的越权行为漏洞。
4、可直接获取管控系统的控制权限,包括但不限于:
1)堡垒机;
2)域控;
3)业务与分发系统。
1、直接获取一般服务器控制权限,包括但不限于:
1)任意代码执行/命令执行类;
2)任意文件包含/任意文件上传类;
3)通过SQL注入进行数据库提权等导致可获取系统权限;
4)反序列化RCE;
5)其他getshell。
2、一般系统的敏感信息泄漏,包括但不限于:
1)一般系统的前台 SQL 注入;
2)通过 SVN 信息泄漏、 Git 信息泄露导致的系统源码泄露。
3、一般系统的严重逻辑设计缺陷和流程缺陷。包括但不限于:
1)绕过认证直接访问管理后台,获取后台超级管理员权限且可以造成大量核心数据泄露或者可以进行相关操作;
2)任意用户登录;
3)任意用户密码重置;
4)越权修改其他用户信息;
5)任意核心数据删除;
6)任意用户删除;
7)一般系统的各种支付绕过;
8)直接获取内网敏感信息SSRF;
9)核心系统弱口令漏洞。
4、访问一般系统任意文件的漏洞,包括但不限于:
1)任意文件读取;
2)任意文件下载。
1、需交互方可影响用户的漏洞,包括但不仅限于:
1)存储型 XSS;
2)一些敏感操作的CSRF(如:支付、发布信息、修改敏感信息等的操作)。
2、普通逻辑设计缺陷与流程缺陷,包括但不限于:
1)越权查看后台页面,并可以获取有限的敏感信息;
2)影响范围有限的越权调用后台接口(如越权读取、越权修改、越权删除等);
3)可以获取有限信息的SSRF(例如:内网存活主机、内网开放端口等,127.0.0.1以及外网IP探测除外);
4)普通系统登录窗口可爆破(需提供成功案例);
5)普通系统弱口令。
3、可造成中等敏感信息泄露的漏洞,包括但不限于:
1)无严重影响的后台SQL注入漏洞;
2)数据量有限或者敏感程度有限的信息泄露;
3)源代码或系统日志等信息泄露。
4、可利用的堆栈溢出、释放重引用、数组越界等漏洞。
1、其他只能造成轻微影响的漏洞,包含但不限于:
1)反射型 XSS(包括反射型 DOM-XSS);
2)普通 CSRF 等。
2、难以利用但存在安全隐患的漏洞,包括但不限于:
1)较难利用的 SQL 注入点;
2)无法控制内容的短信/邮件炸弹;
3)URL跳转;
4)系统的可撞库接口等。
3、轻微信息泄露漏洞,包括但不限于:
1)可登录后台但无权限或无数据操作;
2)phpinfo泄露;
3)配置信息泄露;
4、包括但不限于由死循环导致不可用、空指针异常导致不可用等各种类型的拒绝服务类漏洞;
plusls实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
tianfuxiang实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
NSSL-SJTU实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
zhujie实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
zhulingyun实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
zhanghaowei实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
zhang1355245实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
zhaoyuqiang实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
沉着很陈卓实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
chenqingyang实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
yanxuchen实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
xufenghao实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
guozibo实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
lixiaojie实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
wangyuncong实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
zhouhaowei实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
luzhixue实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
sundian实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
lumingtian实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
yangzhen2实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
tenghaosong实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
xuheyang实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
Release实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
lihongyuan实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
wuyuxiao实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
sparks实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
guoqi1实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
yinhongshan实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
lianmengbingdi实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
zhaoyukai实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
DISCIPLINE3实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
n0_name实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
luojun实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
nobody_test实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 | |
chentianqi实习白帽 |
发现漏洞: * 个, 已确认漏洞: * 个 |
该企业信息只有已报名用户可见。
|
|
电子邮箱: vtsupport@cert.org.cn 联系电话: 010-82990999/1000 版权所有 © 2018-2024 国家计算机网络应急技术处理协调中心 京ICP备10012421号 本平台由 北京数字观星科技有限公司 提供技术支持 |