用户
搜索
  • TA的每日心情
    开心
    2018-9-14 11:30
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    版主

    Rank: 7Rank: 7Rank: 7

    21

    主题

    31

    帖子

    264

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2018-6-6
    发表于 2018-9-17 10:58:49 46698
    亲爱的白帽子们,腾讯云让你们久等啦!

    004.jpg

    第一次跟大家见面,有点不知所措,但很是开森!
    所以,一不小心,腾讯云给大家带来了特别特别的奖励!

    002.jpg

    废话不多说,干货在此,有志之士均可来此领取!

    腾讯云&i春秋2018年度联合众测赛

    【参赛资格】
    条件一:在i春秋SRC部落合作厂商中任一一个提交过1个或以上的高危漏洞【被审核通过】
    i春秋SRC部落合作厂商列表传送门:http://www.ichunqiu.com/src
    条件二:在补天、漏洞盒子、edu等漏洞提交平台提交过1个或以上的高危漏洞【被审核通过】
    条件三:i春秋平台核心白帽子可直接参赛。

    【活动审核管理坏蛋】
    报名请加QQ:286894635


    【活动规则】
    通过审核的i春秋白帽子本次活动提交漏洞时注意标题格式【i春秋+漏洞标题】

    【活动流程】
    活动时间:1015-1026(共计12)
    测试范围: 腾讯云全域     


    【奖励说明】
    本次众测赛,有效漏洞奖金高于其他企业安全应急响应中心平均水平。
    1、 在活动时间内,各个等级的漏洞,审核通过后,均有对应的现金奖励,按照实际审核级别及数量发放;
    2、 有效严重漏洞都可获本年度最最惊喜奖品- iPhone XS;
    3、 本次众测赛所有参赛白帽子,均可获得i春秋&腾讯云联合定制神秘大礼包。



    003.jpg
    【审核标准】
    根据漏洞危害程度分为严重、高、中、低、无五个等级,每个等级评分如下:
    [严重漏洞 ]
    本等级包括
    1) 直接获取权限的漏洞(服务器权限、重要产品客户端权限)。包括但不限于远程任意命令执行、上传 webshell、可利用远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、可利用浏览器
    use after free 漏洞、可利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞。
    2) 直接导致严重的信息泄漏漏洞。包括但不限于重要 DB 的 SQL 注入漏洞。
    3) 直接导致严重影响的逻辑漏洞。
    [高危漏洞 ]
    本等级包括
    1) 能直接盗取用户身份信息的漏洞。包括重要业务的重点页面的存储型 XSS 漏洞、普通站点的 SQL 注入漏洞。
    2) 越权访问。包括但不限于敏感管理后台登录。
    3) 高风险的信息泄漏漏洞。包括但不限于可直接利用的敏感数据泄漏。
    4) 本地任意代码执行。包括但不限于本地可利用的堆栈溢出、UAF、double free、formatstring、本地提权、文件关联的 DLL 劫持(不包括加载不存在的 DLL 文件及加载正常 DLL未校验合法性)以及其它逻辑问题导致的本地代码执行漏洞。
    5) 直接获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、浏览器 use after free 漏洞、远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行漏洞。
    6) 可获取敏感信息或者执行敏感操作的重要客户端产品的 XSS 漏洞。
    [中危漏洞 ]
    本等级包括
    1) 需交互才能获取用户身份信息的漏洞。包括但不限于反射型 XSS(包括反射型 DOM-XSS)、JSON Hijacking、重要敏感操作的 CSRF、普通业务的存储型 XSS。
    2) 远程应用拒绝服务漏洞、敏感信息泄露、内核拒绝服务漏洞、可获取敏感信息或者执行敏感操作的客户端产品的 XSS 漏洞。
    3) 普通信息泄漏漏洞。包括但不限于客户端明文存储密码、QQ 密码明文传输、包含敏感信息的源代码压缩包泄漏。
    [低危漏洞 ]
    本等级包括
    1) 只在特定非流行浏览器环境下(如 IE6 等)才能获取用户身份信息的漏洞。包括但不限于反射型 XSS(包括反射型 DOM-XSS)、普通业务的存储型 XSS 等。
    2) 轻微信息泄漏漏洞。包括但不限于路径泄漏、SVN 文件泄漏、phpinfo、logcat 敏感信息泄漏。
    3) PC 客户端及移动客户端本地拒绝服务漏洞。包括但不限于组件权限导致的本地拒绝服务漏洞。
    4) 越权访问。包括但不限于绕过客户端主动防御,腾讯 URL 跳转漏洞、绕过腾讯恶意网址检测机制的第三方 URL 跳转(注:跳转到正常网站的不属于跳转漏洞,跳转测试 poc:http://www.qq.com_521_qq_diao_yu_wangzhan_789.com,如能跳转到该站点,且无任何提示,则存在漏洞,否则漏洞并不存在)。
    5) 难以利用但又可能存在安全隐患的问题。包括但不限于可能引起传播和利用的 Self-XSS、非重要的敏感操作 CSRF 以及需借助中间人攻击的远程代码执行漏洞并提供了有效 PoC。
    [无效漏洞 ]
    本等级包括
    1) 无关安全的 bug。包括但不限于网页乱码、网页无法打开、某功能无法用。
    2) 无法利用的“漏洞”。包括但不限于没有实际意义的扫描器漏洞报告(如 Web Server 的低版本)、Self-XSS、无敏感信息的 JSON Hijacking、无敏感操作的 CSRF(如收藏、添加购物车、非重要业务的订阅、非重要业务的普通个人资料修改等)、无意义的源码泄漏、内网 IP 地址/域名泄漏、401 基础认证钓鱼、程序路径信任问题、无敏感信息的 logcat信息泄漏。
    3) 无任何证据的猜测。
    4) 非腾讯业务漏洞。


    划重点:
    腾讯云官网:https://cloud.tencent.com/]https://cloud.tencent.com
    腾讯云年度第一场高奖励标准众测赛,强势来袭,机智的你请打起精神,强势挖洞。

    001.jpg



    哎 自己不够资格  再努力吧
    使用道具 举报 回复
    发表于 2018-10-11 23:50:33
    有没有大佬直播挖洞?
    使用道具 举报 回复
    发表于 2018-10-12 10:06:20
    jesonking 发表于 2018-10-11 23:50
    有没有大佬直播挖洞?

    这个需求我去提交一哈试一试
    使用道具 举报 回复
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册