菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。
X设计先容
为了更好地保障互联网的平安,提升平安防御能力,制止服务器被黑客攻陷后用于勒索与挖矿。先知专门制订了《通用破绽威胁情报奖励 X 设计》,以提供奖励的方式激励白帽子遵照负责任的破绽披露机制,向我们提供通用软件的平安破绽情报信息。
若是您发现第三方通用软件的破绽,欢迎您向我们提交,我们会第一时间响应处置。
流动时间
更先时间:2020年05月10日
竣事时间:2021年05月10日
奖励尺度
单个破绽奖励尺度:6000元~100000元
破绽类型
本次设计仅网络可导致目的服务器失陷的破绽(且无破绽行使条件限制),在破绽形貌中需证实破绽的危害:模拟黑客设定一条攻击链路,攻陷服务器,并证实能够用于勒索或挖矿。
,,菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。
破绽类型包罗但不限于:RCE、SQL注入,破绽行使链路能够证实危害即可;
好比:一个系统存在绕过限制注册用户破绽,登录系统后组合治理功效获取服务器权限,行使链上危害能够被证实控制服务器,即知足破绽定级要求。
破绽场景
本次设计收取局限为应用的主程序,若是破绽存在于扩展插件或三方模块之上,需证实该插件或模块的部署量大于3000+。以下应用的插件不在关注局限:Discuz! X / Wordpress / Joomla
提交方式
选择厂商「X设计」,义务名称「通用破绽情报」
https://xianzhi.aliyun.com/management.htm,/vul/add
网络局限
应用名称 | 版本 |
---|---|
SaltStack | 3年内版本 |
ActiveMQ | 3年内版本 |
Adobe Experience Manager | 3年内版本 |
AnyMacro Mail | 3年内版本 |
Apache | 3年内版本 |
Apache Shiro | 3年内版本 |
Apache Struts2 | 3年内版本 |
Apache Tomcat | 3年内版本 |
Apache Traffic Server | 3年内版本 |
Apereo CAS | 3年内版本 |
Apusic Application Server | 3年内版本 |
Atlassian Confluence | 3年内版本 |
Atlassian Jira | 3年内版本 |
Cisco VPN | 3年内版本 |
Cisco IOS | 3年内版本 |
Citrix Adc &Net Scaler | 3年内版本 |
Citrix Metaframe | 3年内版本 |
CmsTop | 3年内版本 |
Coremail | 3年内版本 |
DedeCMS | 3年内版本 |
Destoon | 3年内版本 |
Discuz! X | 3年内版本 |
Django | 3年内版本 |
Docker | 3年内版本 |
Drupal | 3年内版本 |
ECShop | 3年内版本 |
Elasticsearch | 3年内版本 |
Empire CMS | 3年内版本 |
Eyou 亿邮 | 3年内版本 |
ezOFFICE 万户 | 3年内版本 |
F5-BIGip | 3年内版本 |
F5(防火墙) | 3年内版本 |
Fastjson | 3年内版本 |
FCKEditor | 3年内版本 |
FineReport | 3年内版本 |
Flask | 3年内版本 |
GitLab | 3年内版本 |
GlassFish | 3年内版本 |
Hanweb | 3年内版本 |
Harbor | 3年内版本 |
IBM WebSphere | 3年内版本 |
Jackson | 3年内版本 |
Jboss | 3年内版本 |
Jenkins | 3年内版本 |
Jira | 3年内版本 |
Journalx | 3年内版本 |
Juniper NetScreen Secure Access | 3年内版本 |
Jupyter | 3年内版本 |
Kibana | 3年内版本 |
KindEditor | 3年内版本 |
Kong | 3年内版本 |
Laravel-Framework | 3年内版本 |
Lotus Domino | 3年内版本 |
Microsoft Exchange | 2010、2013、2016、2019 |
Microsoft SharePoint | 3年内版本 |
Nagios XI | 3年内版本 |
Nexus Repository Manager | 3年内版本 |
OpenAm | 3年内版本 |
Openfire | 3年内版本 |
Oracle Application Server | 3年内版本 |
Oracle Dynamic Monitoring Service | 3年内版本 |
Outlook Web App | 3年内版本 |
phpCMS | 3年内版本 |
phpMyAdmin | 3年内版本 |
phpStudy | 3年内版本 |
Quickmail | 3年内版本 |
Redmine | 3年内版本 |
Resin | 3年内版本 |
RoundCube | 3年内版本 |
RTX | 3年内版本 |
Ruijie | 3年内版本 |
SAP NetWeaver | 3年内版本 |
Seafile | 3年内版本 |
Sentry | 3年内版本 |
SiteServer | 3年内版本 |
Solr | 5.x - 8.2.0 |
Spring Boot | 3年内版本 |
Spring Framework | 3年内版本 |
SVN | 3年内版本 |
Synology DiskStation | 3年内版本 |
ThinkCMF | 3年内版本 |
ThinkPHP | 3年内版本 |
Tornado Server | 3年内版本 |
TRS WCM | 3年内版本 |
TurboMail | 3年内版本 |
vBulletin | 3年内版本 |
wdCP 面板 | 3年内版本 |
WebLogic | 3年内版本 |
WebPy | 3年内版本 |
WebX | 3年内版本 |
WildFly | 3年内版本 |
Winmail 邮件系统 | 3年内版本 |
XAMPP | 3年内版本 |
Yii | 3年内版本 |
Jeecms | 3年内版本 |
YunKeMail | 3年内版本 |
Zabbix | 3年内版本 |
JumpServer | 3年内版本 |
禅道项目治理系统 ZenTaoPMS | 3年内版本 |
久其报表 | 3年内版本 |
天清汗马 VPN | 3年内版本 |
天融信 VPN | 3年内版本 |
深信服 VPN | 3年内版本 |
网御星云 VPN | 3年内版本 |
网神 VPN | 3年内版本 |
安宁邮箱 | 3年内版本 |
宝塔linux面板 | 3年内版本 |
微擎 | 1年内版本 |
泛微 OA | 1年内版本 |
致远 OA | 1年内版本 |
通达 OA | 1年内版本 |
蓝凌 OA | 3年内版本 |
海康威视 | 3年内版本 |
深信服 数据中心 | 3年内版本 |
深信服 防火墙 | 3年内版本 |
深信服 Sangfor Application | 3年内版本 |
注意事项
为了能够对每个破绽举行客观评估,兼顾对破绽的现实影响判断,建议白帽子依据CVSS 3.0尺度,弥补如下要害信息,从而制止审核过程中造成的偏颇。CVSS破绽评级尺度计算器
事项 | 说明 |
---|---|
行使方式 | 远程 / 内陆 / 物理 |
用户交互 | 不需要登录 / 需登录(开放注册)/ 需登录 |
权限要求 | 普通用户 / 功效治理员 / 系统治理员 |
SQL注入破绽 | 请弥补注入行使证实,包罗数据库的 user()或 version()或 database()的输出效果,建议提供截图 |
下令执行破绽 | 请弥补下令执行行使证实,运行下令whoami 输出的效果,建议提供截图 |
限制条件
- 奖励尺度仅适用于列表中的应用;
- 统一破绽多位白帽子在平台提交,以时间先后顺序只奖励首位提交者;
- 官方无开源代码而且无测试Demo的破绽,需要提供至少5个互联网以实例证实危害;
- 统一个破绽源发生的多个破绽计破绽数目为一。例如:统一功效模块下的差别接口,统一文件的差别参数、统一参数出现在差别文件、统一文件在差别目录、统一破绽的差别行使方式、差别版本的统一破绽、统一函数导致破绽等;
- 可以通过修复一个点使得后续行使均不可行的情形,后续破绽提交均视为重复破绽。说明:如多个接口程序中都用到了统一个全局函数举行数据处置,这个全局数据处置函数被行使导致了破绽形成,则所有此类破绽均视为统一破绽。
- 讲述网上已公然的破绽不给予奖励(已披露但未公然的破绽情报有用);
- 对于恶意提交重复破绽骗取奖励的行为,会给予忠告甚至封号处置。
版权声明
本文仅代表作者观点,
不代表本站Allbet的立场。
本文系作者授权发表,未经许可,不得转载。
发表评论