记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

挖iPhone 6!漏洞盒子项目上新:苏宁易购安全测试

2014-09-16 12:20

苏宁易购是苏宁云商旗下新一代B2C综合网上购物平台,现已覆盖传统家电、3C电器、日用百货等全品类。目前位居中国B2C市场份额前三强。苏宁授权漏洞盒子(VulBox.COM)的白帽子进行为期一周的安全测试。

项目描述:

本次测试项目类型为“RANK项目「苏宁特别定制版」”

1、参与测试会奖励RANK和FB金币,FB金币可用于FreeBuf商城(shop.freebuf.com)礼品兑换

2、项目结束后,漏洞盒子将公布参与此项目的白帽子RANK排行榜”

榜单第一名:iPhone 6 一台(比更大还大,真TM的大……)
榜单第二名:iPad Air 一台
榜单第三名:iPad mini 一台
首个漏洞提交者(被厂商确认):适合与妹子一起玩耍的1024神秘礼物一份

3、漏洞详情信息将在厂商完全修复后一段时间内(遵从负责任的漏洞披露流程处理)选择性公开。
参加漏洞盒子「RANK项目」,妈妈再也不用担心我学不到漏洞挖掘姿势了!


规则描述:

高危安全问题(RANK 100/个 FB金币 100/个) 

直接获取业务服务器权限的漏洞。包括但不限于任意命令执 行、上传webshell、任意代码执行;直接导致严重的信息泄漏漏洞。包括但不限于核心DB的SQL注入漏洞;直接导致严重影响的逻辑漏洞。包括但不限 于任意帐号密码更改漏洞。能直接批量盗取用户身份信息的漏洞。包括但不限于SQL注入;越权访问。包括但不限于绕过认证访问后台。 

中危安全问题(RANK 30/个  FB金币 50/个)

需交互才能获取用户身份信息的漏洞。包括但不限于存储型XSS漏洞;任意文操作漏洞。包括但不限于任意文件读、写、删除、下载等操作;越权访问。包括但不限于绕过限制修改用户资料、执行用户操作;比较严重的信息泄漏漏洞。包含敏感信息文件泄露(如DB连接密码);  

低危安全问题(RANK 10/个) 

普通逻辑漏洞;普通信息泄露;需交互才能获取用户身份信息并且有一定利用难度的漏洞。包括但不限于反射型XSS,CSRF,JSON Hijacking等。

测试时间:

2014.9.16 – 2014.9.22

测试时间:

*.suning.com

注意:

1、漏洞在未公布之前禁止对外公开
2、禁止使用DDOS等可能影响正常业务的攻击手法
3、涉及以上行为账户赏金将冻结
4、泄露敏感数据(包括数据库信息、用户信息、账户信息等)追究法律责任

立即开挖传送门:点这里

知识来源: www.freebuf.com/fevents/43393.html

阅读:55662 | 评论:0 | 标签:活动 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“挖iPhone 6!漏洞盒子项目上新:苏宁易购安全测试”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云