主要针对安全产品进行网络攻击测试,用于检验产品网络安全性。
项目周期:2022.12.18 11.14.13- 2022.12.19 11.14.13
奖金规模:10W+
主要针对安全产品进行网络攻击测试,用于检验产品网络安全性。
报名成功后可见。
报名成功后可见。
1、无需登录,直接获取控制权限,包括但不限于:
1)任意代码执行/命令执行类;
2)任意文件包含/任意文件上传类;
3)通过SQL注入进行数据库提权等导致可获取系统权限;
4)反序列化RCE;
5)缓冲区溢出;
6)其他getshell。
1、登录后,获取控制权限,包括但不限于:
1)任意代码执行/命令执行类;
2)任意文件包含/任意文件上传类;
3)通过SQL注入进行数据库提权等导致可获取系统权限;
4)反序列化RCE;
5)其他getshell。
2、严重逻辑设计缺陷和流程缺陷。包括但不限于:
1)绕过认证直接访问管理后台,获取后台超级管理员权限且可以造成大量核心数据泄露或者可以进行相关操作;
2)未授权访问或者越权,可以造成大量核心数据泄露;
3)任意用户登录;
4)任意用户密码重置;
5)越权修改其他用户信息;
6)任意核心数据删除;
7)任意用户删除;
8)直接获取内网敏感信息SSRF;
9)通过业务接口批量发送任意伪造内容的消息。
1、需交互方可影响用户的漏洞,包括但不仅限于:
1)存储型 XSS;
2)一些敏感操作的CSRF(如:支付、发布信息、修改敏感信息等的操作)。
2、普通逻辑设计缺陷与流程缺陷,包括但不限于:
1)越权查看后台页面,并可以获取有限的敏感信息;
2)影响范围有限的越权调用后台接口(如越权修改、越权删除等);
3)可以获取有限信息的SSRF(例如:内网存活主机、内网开放端口等,127.0.0.1以及外网IP探测除外);
4)普通系统登录窗口可爆破(需提供成功案例);
5)暴力破解账号密码;
6)绕过验证码等。
3、可造成中等敏感信息泄露的漏洞,包括但不限于:
1)无严重影响的后台SQL注入漏洞;
2)数据量有限或者敏感程度有限的信息泄露;
3)源代码或系统日志等信息泄露。
1、其他只能造成轻微影响的漏洞,包含但不限于:
1)反射型 XSS(包括反射型 DOM-XSS);
2)普通 CSRF 等。
2、难以利用但存在安全隐患的漏洞,包括但不限于:
1)较难利用的 SQL 注入点;
2)无法控制内容的短信/邮件炸弹;
3)URL跳转;
4)系统的可撞库接口等。
3、轻微信息泄露漏洞,包括但不限于:
1)可登录后台但无权限或无数据操作;
2)phpinfo泄露;
3)配置信息泄露。
项目已结束,动态不可见!请从个人中心查看相关信息。
项目已结束,成员不可见,请从个人中心查看相关信息。
该企业信息只有已报名用户可见。