乌云众测第二十五期即将开始(最土豪) (WOOY

  • A+
所属分类:WooYun-Zone

xsser乌云众测第二十五期即将开始(最土豪)  (WOOY (十根阳具有长短!!) 乌云众测第二十五期即将开始(最土豪)  (WOOY | 2014-05-16 18:32

1. 测试对象是国内某单位邮件系统,本次为渗透测试,在测试过程中希望数据不被恶意读取和篡改,线上业务不受到影响。本次会选取15名顶级白帽子参与测试,由于本次项目密级度较高,本次会采取VPN的方式接入测试对象的网络环境,测试目标会部署部分安全策略,本次挑战难度较高,请量力而行。
2. 测试内容包括:
• 业务是否正确的实现,包括开发中的错误,网络/系统/应用中的安全漏洞等 。
• 业务流程逻辑是否合理,是否满足安全需求,如是否设置了合适的安全策略,安全机制是否可能存在绕过的可能,是否能抵挡外部的攻击等 。

奖励标准:

a)  高危安全问题(费用20000元/个):直接获取服务器权限的漏洞。包括但不限于任意命令执行、上传webshell、任意代码执行;直接导致严重的信息泄漏漏洞。包括但不限于核心DB的SQL注入漏洞;直接导致严重影响的逻辑漏洞。包括但不限于任意帐号密码更改漏洞。能直接批量盗取用户身份信息的漏洞。包括但不限于SQL注入;越权访问。包括但不限于绕过认证访问后台。

b)  中危安全问题(费用10000元/个):需交互才能获取用户身份信息的漏洞。包括但不限于存储型XSS漏洞;任意文操作漏洞。包括但不限于任意文件读、写、删除、下载等操作;越权访问。包括但不限于绕过限制修改用户资料、执行用户操作;比较严重的信息泄漏漏洞。包含敏感信息文件泄露(如DB连接密码);

厂商对安全性有一定要求,目前只接受高危和中危漏洞。

奖金池上限20-30万不等,可根据项目实际进展情况终止项目。

人员要求:
• drops活跃白帽子;
  • 各个领域认证专家;不仅限以下领域
    ○ web安全
    ○ 代码审计
    ○ 各路猥琐流

       在在乌云知识库,乌云社区各个领域有过突出贡献的白帽子免门票。  
       本次门票:0-10WB

请严格按照漏洞提交标准提交漏洞!

重点提示:
    
漏洞提交者如不按照漏洞提交标准提交问题或者漏洞信息不实,乌云众测平台或众测厂商可根据实际情况降低漏洞级别或者不予通过;反复提交不实漏洞,乌云众测和众测厂商有权取消参与评估资格。

白帽子参与须知,白帽子需要严格遵守保密条款,不仅限一下内容
1.客户资料,项目实施内容,漏洞细节,如:图片,代码,附件等信息,
2.对泄露或者非法获取客户信息的行为,乌云有权对违规人员进行追责;

请参与评估的白帽子不要超出项目评估范围。

PS:后续陆续还会有众测,欢迎大家持续关注 :)

PSS:觉得自己能力ok的筒子,在乌云众测平台上报名后,请发送QQ号码至yangwei#wooyun.org报名。

为了保证白帽子平等性,5月21日18点准时审核,审核通过后即可提交漏洞,最近会上订阅提醒功能,期待吧!

分享到: