首页
社区
课程
招聘
[公告]看雪学院全面做一次众测,欢迎报名参与
发表于: 2018-3-20 11:47 2117

[公告]看雪学院全面做一次众测,欢迎报名参与

2018-3-20 11:47
2117
https://ce.kanxue.com/project-test_list-99.htm


希望能够对Web安全漏洞进入验证,不要影响正常业务流程。 

测试对象是看雪学院旗下网站(看雪众测平台除外,以下方域名为准):

看雪用户中心:http://passport.kanxue.com

看雪学院门户:https://www.kanxue.com

看雪专栏:https://zhuanlan.kanxue.com/

看雪CTF:https://ctf.pediy.com/

看雪论坛:https://bbs.pediy.com/



测试内容:

•网站、系统中的安全漏洞;

•安全机制和策略是否存在逻辑问题;


评级:

1)高危安全问题 :直接获取业务服务器权限的漏洞,包括但不限于任意命令执行、上传webshell、任意代码执行;直接导致严重的信息泄漏漏洞或能直接批量盗取用户身份信息的漏洞,包括但不限于核心DB的SQL注入漏洞;直接导致严重影响的逻辑漏洞,包括但不限于任意帐号密码更改漏洞或绕过认证访问后台。

2)中危安全问题 :需交互才能获取用户身份信息的漏洞,包括但不限于存储型XSS漏洞;任意文操作漏洞,包括但不限于任意文件读、写、删除、下载等操作;越权访问,包括但不限于绕过限制修改用户资料、执行用户操作;比较严重的信息泄漏漏洞,包含敏感信息文件泄露(如DB连接密码)。

3)低危安全问题 :一般的不会造成破坏的轻微漏洞,如JsonHijacking、CSRF等漏洞。信息泄露漏洞,包括但不限于路径泄露、LOG文件泄露等。难以利用的漏洞,包括但不限于反射型XSS,URL跳转等漏洞。



注意事项:

1)同一漏洞,第一名提交的成绩有效;

2)项目结束,提交的漏洞总数费用,超过预算,每个漏洞的单价,将做同步稀释;

3)一般影响的反射xss和csrf以及拒绝服务相关问题不在本次确认的范围内。

4)各漏洞应描述清楚漏洞的危害或给予证明,将根据危害来最终评级或忽略。

5)禁止使用扫描器扫描、禁止脱裤等行为

看雪学院
2018/3/20

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2018-3-21 18:02 被kanxue编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 183
活跃值: (1284)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
2
支持一下。。
2018-3-20 13:46
0
雪    币: 1005
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
请问  加密与解密第四版什么时候出
2018-3-24 15:15
0
雪    币: 5
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
支持~~~
2018-4-3 13:47
0
游客
登录 | 注册 方可回帖
返回
//