去哪儿是中国领先的旅游搜索引擎,目前全球最大的中文在线旅行网站,创立于2005年2月,总部在北京。此次测试目标为去哪儿WEB网站(含子域名)以及官方手机APP。
日前,去哪儿与FreeBuf达成合作协议,由FreeBuf的白帽子测试其网站的安全性,要求不能影响其网站的正常运行。
测试内容包括:
- 业务是否正确的实现,包括开发中的错误,网络/系统/应用中的安全漏洞等 。
- 业务流程逻辑是否合理,是否满足安全需求,如是否设置了合适的安全策略,安全机制是否可能存在绕过的可能,是否能抵挡外部的攻击等
奖品介绍:
高危安全问题(费用3000元/个 RANK 15):
直接获取业务服务器和移动APP权限的漏洞。包括但不限于任意命令执行、上传webshell、任意代码执行;直接导致严重的信息泄漏漏洞。
包括但不限于核心DB的SQL注入漏洞;直接导致严重影响的逻辑漏洞。
包括但不限于任意帐号密码更改漏洞。能直接批量盗取用户身份信息的漏洞。
包括但不限于SQL注入;越权访问。包括但不限于绕过认证访问后台。
中危安全问题(费用1500元/个 RANK 10):
需交互才能获取用户身份信息的漏洞。包括但不限于任意文操作漏洞。
包括但不限于任意文件读、写、删除、下载等操作;越权访问。
包括但不限于绕过限制修改用户资料、执行用户操作;比较严重的信息泄漏漏洞。包含敏感信息文件泄露(如DB连接密码)。
低危安全问题(费用100元/个 RANK 5):
普通逻辑漏洞;普通信息泄露;需交互才能获取用户身份信息并且有一定利用难度的漏洞。
本次项目不接收以下三类问题的漏洞:
绕过WAF未对业务系统造成影响的
非登录相关界面的url跳转
不会造成用户隐私信息泄露的CSRF
评估范围如下:
*. qunar.com
去哪儿网全部新版APP应用程序(iOS、Andriod、WP)
本次不包含内网信息系统
注意:
1、漏洞在未公布之前禁止对外公开
2、禁止使用DDOS,自动化扫描工具等可能影响正常业务的攻击手法
3、涉及以上行为账户赏金将冻结
4、赏金总额达到上限后,项目可能提前结束,参加测试同学请抓紧时间哦:)
测试时间:
2014年8月11日 – 2014年9月11日
项目地址:
https://www.vulbox.com/home/bounties
如有问题请联系客服QQ 1951415100
除此之外,所有参与该项目测试的白帽子,只要最终确定漏洞数排名TOP5的,就能获得 #漏洞盒子挖洞套餐# 一份,可选择如下A、B两款套餐任意一份:
挖洞套餐A:
加多宝一箱 泻火凉茶 310ml 6罐
张君雅 碳烤鸡汁点心面 2袋
乐事薯片(意大利香浓红烩味)1袋
挖洞套餐B:
三得利一箱 超纯啤酒 330ml 6罐
黄飞红 麻辣花生 2袋
啤酒搭档 海牌 海苔2g*10(韩国) 2袋
在这个炎热的夏日,寂寞的夜晚,快加入漏洞盒子,让挖洞不再孤单!
