平安SRC漏洞专测活动

百家 作者:平安安全应急响应中心 2021-03-03 16:59:59

平安SRC

漏洞专测活动


3月有暖阳和微风

有春花烂漫和绿草如茵

有平安SRC漏洞专测活动

所有糟糕的都是过往

所有的美好都在3月相遇

平安SRC…


专测&奖励


*仅专测范围按此评级奖励

活 动 说 明


测试范围:每周四在漏洞专测群提供最新测试范围。

活动时间:3月3日-4月4日

活动报名条件:

  1. 白帽子需在平安SRC完成实名认证;

  2. 添加平安SRC管理员微信:296816085;

  3. 管理员验证资质后邀请进入专测群;

  4. 漏洞标题需带上【专测】,否则按常规漏洞处理;

  5. 白帽子需严格遵守《平安SRC漏洞提交规范》/《PSRC用户服务协议》

平安SRC…


专测&标准



严 重

 1、直接获取系统权限(服务端权限、客户端权限)的漏洞,包括但不限于任意代码执行、任意命令执行、上传Webshell并可执行等;

2、生产业务系统严重的逻辑设计缺陷,包括但不限于账户、支付方面的安全问题,如任意账号登录、任意账号密码修改、任意账号资金消费、支付交易方面的严重问题;

3、充分挖掘可批量获取公司敏感信息,包括客户类信息(客户姓名、证件号、证件号码、电话号码、客户地址等)、财务类信息(包括员工薪酬表、预算信息、财务报表、结算信息、提成信息、收入信息等)、金融类信息(用户的银行名称、银行账号、户名、支付密码、信用记录等。)每类信息必须包含三个内容字段以上。

高 危

1、高风险的信息泄露漏洞,包括但不限于DB的SQL注入漏洞,泄露用户账户支付相关信息泄露,核心功能的源代码泄露(含算法,重要业务逻辑等),泄露用户隐私信息等;

2、越权访问,包括但不仅限于绕过认证直接访问管理后台可操作,应用非授权访问、应用后台弱密码等,能通过泄露的token/session登录系统或通过泄露的接口获取高风险敏感信息的springboot未授权访问等;

3、移动端:能够远程获取大量用户敏感信息的漏洞,安装恶意app在新版安卓原生环境下的 app 克隆类漏洞,需安装App才能读取用户敏感隐私数据类漏洞,恶意app跨应用调用移动客户端的功能完成一些高危操作(如文件读写,短信读写,客户端自身数据读写等)。

4、大范围影响用户信息或资金方面的其他漏洞。

中 危

1、普通信息泄露,包括但不限于包含服务器或数据库敏感信息的源代码压缩包下载、springboot未授权访问敏感端点信息等。

2、影响应用正常运转,造成不良影响的漏洞,包括但不限于应用层拒绝服务等;

3、弱验证机制引发的漏洞,包括但不限于可暴力破解的加密方式、未做访问次数限制的业务相关接口,帐户相关暴力破解且成功获取帐户信息等。

4、需交互才能获取用户身份信息的漏洞,包括但不限于敏感操作的CSRF,json hijacking、可造成严重危害的存储型XSS等

5、移动端:有资金或虚拟货币交易类应用未正确校验https证书(其他应用类型未正确校验https证书,根据业务范围评级低或无影响),需要安装 app 读取用户敏感信息类漏洞,需安装App在较旧的安卓原生环境下才能做到 app 克隆类漏洞,普通的信息泄露(参见第1条)等

低 危

1、可被利用于钓鱼攻击的漏洞,包括但不限于URL重定向漏洞等

2、轻微信息泄露:服务器敏感信息的日志文件下载、客户端明文存储密码

3、提供poc但难以利用的安全隐患。包括但不限于可能引起传播的self-xss、不能引起较大危害的存储型XSS、反射型XSS(包括反射型DOM-XSS,Flash型XSS)等

4、移动端:需要复杂的环境和条件才能触发的漏洞,特定场景且需要用户配合才能造成的安全漏洞,轻微的信息泄露等


注:专测范围之外的漏洞按照psrc评分标准进行评分。


关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接