记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

通用漏洞情报奖励 X 计划

2020-05-07 12:09

X计划介绍

为了更好地保障互联网的安全,提升安全防御能力,以及避免服务器被黑客攻陷后用于勒索与挖矿,先知专门制定了《通用漏洞情报奖励 X 计划》,以提供奖励的方式鼓励白帽子遵循负责任的漏洞披露机制,向我们提供通用软件的安全漏洞情报信息。

如果您发现第三方通用软件的漏洞,欢迎您向我们提交,我们会第一时间响应处理。

活动时间

开始时间:2020年05月10日
结束时间:2021年05月10日

奖励标准

奖励额度标准:6000元~50000元

收集漏洞类型

本次计划仅收集可导致目标服务器失陷的漏洞(且无漏洞利用条件限制),在漏洞描述中需证明漏洞的危害:模拟黑客设定一条攻击路径,攻陷服务器,并证明能够用于勒索或挖矿。

漏洞类型包括但不限于:RCE、SQL注入,漏洞利用链路能够证明危害即可;

比如:一个系统存在绕过限制注册用户漏洞,登录系统后组合管理功能获取服务器权限,利用链上危害能够被证明控制服务器,即满足漏洞定级要求。

漏洞场景

本次计划收取范围为应用的主程序,如果漏洞存在于扩展插件或三方模块之上,需证明该插件或模块的部署量大于3000+。以下应用的插件不在关注范围:Discuz! X / Wordpress / Joomla

漏洞提交方式

选择厂商「X计划」,任务名称「通用漏洞情报」
https://xianzhi.aliyun.com/management.htm#/vul/add

漏洞收集范围

应用名称版本
ActiveMQ3年内版本
Adobe Experience Manager3年内版本
AnyMacro Mail3年内版本
Apache3年内版本
Apache Shiro3年内版本
Apache Solr3年内版本
Apache Struts23年内版本
Apache Tomcat3年内版本
Apache Traffic Server3年内版本
Apereo CAS3年内版本
Apusic Application Server3年内版本
Atlassian Confluence3年内版本
Atlassian Jira3年内版本
BEA WebLogic Server3年内版本
Cicso VPN3年内版本
Cisco IOS3年内版本
Citrix Adc &Net Scaler3年内版本
Citrix Metaframe3年内版本
CmsTop3年内版本
Coremail3年内版本
DedeCMS3年内版本
Destoon3年内版本
Discuz! X3年内版本
Django3年内版本
Docker3年内版本
Drupal3年内版本
ECShop3年内版本
Elasticsearch3年内版本
Empire CMS3年内版本
Eyou 亿邮3年内版本
ezOFFICE 万户3年内版本
F5-BIGip3年内版本
F5(防火墙)3年内版本
Fastjson3年内版本
FCKEditor3年内版本
FineReport3年内版本
Flask3年内版本
GitLab3年内版本
GlassFish3年内版本
Hanweb3年内版本
Harbor3年内版本
IBM WebSphere3年内版本
Jackson3年内版本
Jboss3年内版本
Jenkins3年内版本
Jira3年内版本
Journalx3年内版本
Juniper NetScreen Secure Access3年内版本
Jupyter3年内版本
Kibana3年内版本
KindEditor3年内版本
Kong3年内版本
Laravel-Framework3年内版本
Lotus Domino3年内版本
Microsoft Exchange2010、2013、2016、2019
Microsoft SharePoint3年内版本
Nagios XI3年内版本
Nexus Repository Manager3年内版本
OpenAm3年内版本
Openfire3年内版本
Oracle Application Server3年内版本
Oracle Dynamic Monitoring Service3年内版本
Outlook Web App3年内版本
phpCMS3年内版本
phpMyAdmin3年内版本
phpStduy3年内版本
Quickmail3年内版本
Redmine3年内版本
Resin3年内版本
RoundCube3年内版本
RTX3年内版本
Ruijie3年内版本
SAP NetWeaver3年内版本
Seafile3年内版本
Sentry3年内版本
Shiro3年内版本
SiteServer3年内版本
Solr5.x - 8.2.0
Spring Boot3年内版本
Spring Framework3年内版本
SVN3年内版本
Synology DiskStation3年内版本
ThinkCMF3年内版本
ThinkPHP3年内版本
Tornado Server3年内版本
TRS WCM3年内版本
TurboMail3年内版本
vBulletin3年内版本
wdCP 面板3年内版本
WebLogic3年内版本
WebPy3年内版本
WebX3年内版本
WildFly3年内版本
Winmail 邮件系统3年内版本
XAMPP3年内版本
Yii3年内版本
Jeecms3年内版本
用友 NC3年内版本
YunKeMail3年内版本
Zabbix3年内版本
ZCMS3年内版本
奇智堡垒机3年内版本
JumpServer3年内版本
禅道项目管理系统 ZenTaoPMS3年内版本
久其报表3年内版本
天清汗马 VPN3年内版本
天融信 VPN3年内版本
深信服 VPN3年内版本
网御星云 VPN3年内版本
网神 VPN3年内版本
安宁邮箱3年内版本
宝塔linux面板3年内版本
微擎1年内版本
泛微 OA1年内版本
致远 OA1年内版本
通达 OA1年内版本
蓝凌 OA3年内版本
海康威视3年内版本
深信服 数据中心3年内版本
深信服 防火墙3年内版本
深信服 Sangfor Application3年内版本

注意事项

为了能够对每个漏洞进行客观评估,兼顾对漏洞的实际影响判断,建议白帽子依据CVSS 3.0标准,补充如下关键信息,从而避免审核过程中造成的偏颇。CVSS漏洞评级标准计算器

事项说明
利用方式远程 / 本地 / 物理
用户交互不需要登录 / 需登录(开放注册)/ 需登录
权限要求普通用户 / 功能管理员 / 系统管理员
SQL注入漏洞请补充注入利用证明,包括数据库的 user()或 version()或 database()的输出结果,建议提供截图
命令执行漏洞请补充命令执行利用证明,运行命令whoami 输出的结果,建议提供截图

付款条件和限制

  • 奖励标准仅适用于列表中的厂商;
  • 同一漏洞多位白帽子在平台提交,以时间先后顺序只奖励首位提交者;
  • 官方无开源代码并且无测试Demo的漏洞,需要提供至少5个互联网以实例证明危害;
  • 同一个漏洞源产生的多个漏洞计漏洞数量为一。例如:同一功能模块下的不同接口,同一文件的不同参数、同一参数出现在不同文件、同一文件在不同目录、同一漏洞的不同利用方式、不同版本的同一漏洞、同一函数导致漏洞等;
  • 可以通过修复一个点使得后续利用均不可行的情况,后续漏洞提交均视为重复漏洞。说明:如多个接口程序中都用到了同一个全局函数进行数据处理,这个全局数据处理函数被利用导致了漏洞形成,则所有此类漏洞均视为同一漏洞。
  • 报告网上已公开的漏洞不给予奖励;
  • 对于恶意提交重复漏洞骗取奖励的行为,会给予警告乃至封号处理。


知识来源: xz.aliyun.com/t/7739

阅读:40748 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“通用漏洞情报奖励 X 计划”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄❤

ADS

标签云

本页关键词