记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

漏洞盒子项目上新:去哪儿网站及APP安全测试

2014-08-07 12:20

去哪儿是中国领先的旅游搜索引擎,目前全球最大的中文在线旅行网站,创立于2005年2月,总部在北京。此次测试目标为去哪儿WEB网站(含子域名)以及官方手机APP。 

日前,去哪儿与FreeBuf达成合作协议,由FreeBuf的白帽子测试其网站的安全性,要求不能影响其网站的正常运行。

测试内容包括: 

- 业务是否正确的实现,包括开发中的错误,网络/系统/应用中的安全漏洞等 。 

 - 业务流程逻辑是否合理,是否满足安全需求,如是否设置了合适的安全策略,安全机制是否可能存在绕过的可能,是否能抵挡外部的攻击等

奖品介绍:

高危安全问题(费用3000元/个 RANK 15):

直接获取业务服务器和移动APP权限的漏洞。包括但不限于任意命令执行、上传webshell、任意代码执行;直接导致严重的信息泄漏漏洞。
包括但不限于核心DB的SQL注入漏洞;直接导致严重影响的逻辑漏洞。
包括但不限于任意帐号密码更改漏洞。能直接批量盗取用户身份信息的漏洞。
包括但不限于SQL注入;越权访问。包括但不限于绕过认证访问后台。

中危安全问题(费用1500元/个 RANK 10):

需交互才能获取用户身份信息的漏洞。包括但不限于任意文操作漏洞。
包括但不限于任意文件读、写、删除、下载等操作;越权访问。
包括但不限于绕过限制修改用户资料、执行用户操作;比较严重的信息泄漏漏洞。包含敏感信息文件泄露(如DB连接密码)。

低危安全问题(费用100元/个 RANK 5):

普通逻辑漏洞;普通信息泄露;需交互才能获取用户身份信息并且有一定利用难度的漏洞。 
本次项目不接收以下三类问题的漏洞:
绕过WAF未对业务系统造成影响的
非登录相关界面的url跳转
不会造成用户隐私信息泄露的CSRF

评估范围如下: 

*. qunar.com 
去哪儿网全部新版APP应用程序(iOS、Andriod、WP)

本次不包含内网信息系统

注意:

1、漏洞在未公布之前禁止对外公开
2、禁止使用DDOS,自动化扫描工具等可能影响正常业务的攻击手法
3、涉及以上行为账户赏金将冻结
4、赏金总额达到上限后,项目可能提前结束,参加测试同学请抓紧时间哦:)

测试时间:

2014年8月11日 – 2014年9月11日

项目地址:

https://www.vulbox.com/home/bounties

如有问题请联系客服QQ 1951415100

除此之外,所有参与该项目测试的白帽子,只要最终确定漏洞数排名TOP5的,就能获得 #漏洞盒子挖洞套餐# 一份,可选择如下A、B两款套餐任意一份:

挖洞套餐A:

加多宝一箱 泻火凉茶 310ml 6罐
张君雅 碳烤鸡汁点心面 2袋
乐事薯片(意大利香浓红烩味)1袋

挖洞套餐B:

三得利一箱 超纯啤酒 330ml 6罐
黄飞红 麻辣花生 2袋
啤酒搭档 海牌 海苔2g*10(韩国) 2袋

在这个炎热的夏日,寂寞的夜晚,快加入漏洞盒子,让挖洞不再孤单!


知识来源: www.freebuf.com/fevents/40230.html

阅读:289029 | 评论:0 | 标签:活动 vulbox 安全众测 漏洞盒子 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“漏洞盒子项目上新:去哪儿网站及APP安全测试”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

广而告之 💖

标签云 ☁