-
-
[讨论] 众测活动 | 点击查看3月财运排名榜
-
发表于: 2021-3-4 10:40 6318
-
58SRC定向众测活动第五期
听说,3月财运最好的人群是:
No.1 来58SRC挖洞的帅哥美女们!!
No.1 来58SRC挖洞的帅哥美女们!!
No.1 来58SRC挖洞的帅哥美女们!!
没错,就是你~
58SRC定向众测活动第五期重磅来袭
详情见下方
一般人我不告诉他
1 测试范围
58同城系统:
个人中心-认证管理、个人认证和企业认证
2 活动时间
漏洞提交时间:3月3日~3月31日
3 活动奖励
以漏洞实际等级为基本依据,根据报告质量和漏洞类型有浮动。本次活动仅奖励金币,不奖励rank积分,不算排名。
1)严重漏洞奖励基准:¥6000
2)高危漏洞奖励基准:¥3000
3)中危漏洞奖励基准:¥800
4)低危漏洞奖励基准:无
5)黑产调研任务奖励:见下方黑产调研任务表格
4 漏洞提交说明
1、漏洞提交地址:58SRC官网(https://security.58.com);
2、提交名称格式为(众测5-漏洞名称), 如提交漏洞格式不符合,此漏洞将不参与众测奖励。不在众测范围内的漏洞请勿添加众测标题。
3、本次定向测试所提交的漏洞不参与月度、季度奖励评比;并且,不与其他活动奖励同享。
4、本次有效的测试范围在:个人中心-认证管理、个人认证和企业认证。
5、58SRC对本次活动相关规则保留最终解释权。
5 SRC认证众测规则
1、测试目标:发现已经存在或潜在的如下类型漏洞、风险或情报。
(1)完成黑产调研任务;
(2)身份信息不一致,可认证成功;
(3)绕过正常程序流程,可认证成功;
(4)个人认证、企业认证、敏感数据泄露;
(5)能够或已经实施前所述行为的黑产情报、黑产工具/代码。
2、漏洞有效性认定:完全满足下列任意1条,即可认定为有效漏洞、风险、情报或攻击。如果存在单条漏洞、风险、情报或攻击符合多条标准的,按定级较高的进行认定。
(1)黑产调研任务,每期至少需5人提交,以确保数据可靠性:
类别 | 名称 | 任务说明 | 判定 | 奖励 |
任务 | 营业执照平均价格 | 通过QQ、微信或其它渠道,与黑产获取营业执照价格,给出平均价格,要求有相关截图 | 1.根据提交价格,取平均值上下浮动30%认定有效,以最接近平均值为主要评判依据,在接近平均值相同的情况下,以提交报告先后顺序为辅评判依据,取前5名给予奖励; 2.一个白帽子只允许提交一份报告,如有更新在评论区留言。 | 第一名: 500¥ 第二名: 400¥ 第三名: 300¥ 第四名: 200¥ 第五名: 100¥ |
上传营业执照通过率 | 提供获取营业执照渠道,并测试该渠道在普通企业认证中不同营业执照的通过率 | 1.按照多张不同营业执照成功通过审核的执照数量给予奖励。 2. 审核通过后,在账号消息推送有2条消息为,恭喜您的营业执照申请成功,即算完成,只有1条消息,不算完成。 3.需要提供当前账号UID(登录后cookies中找到ppu内uid值)和营业执照名称。 | 通过认证审核一次奖励:50¥,每个人最多通过10次,奖励上限:500¥。 如果发现漏洞接口,可以任意通过认证,按照漏洞标准给奖励。
| |
测试相同的一张营业执照最大通过普通企业认证次数 | 按照一张相同营业执照成功通过审核次数,前3名白帽子进行奖励 | 第一名:500¥ 第二名:300¥ 第三名:100¥ | ||
发布58人脸认证任务平台数量 | 寻找有哪些平台发布58人脸认证任务 | 奖励名额不限,重复提交的平台无效 | 奖励: 300¥ |
(2)身份信息不一致,可认证成功:
类别 | 行为 | 结果 | 判定 |
人脸认证 | 实名身份信息与人脸识别身份不一致 | 通过认证 | 存在漏洞 |
银行卡实名 | 持卡人身份与银行预留手机号不一致 | 通过认证 | 存在漏洞 |
手持身份认证 | 身份信息与证件图片不一致 | 通过认证 | 存在漏洞 |
营业执照普通 | 企业信息与执照图片不一致 | 通过认证 | 存在漏洞 |
营业执照第三方 | 企业信息与执照图片不一致 | 通过认证 | 存在漏洞 |
营业执照法人 | 法人身份信息与企业信息不一致或法人身份信息与人脸识别采集信息不一致 | 通过认证 | 存在漏洞 |
对公账号 | 银行开户名称与对公账号不一致 | 通过认证 | 存在漏洞 |
其他 | 酌定 |
(3)绕过正常程序流程,可认证成功:
类别 | 行为 | 结果 | 判定 |
人脸认证 | 未输入实名认证信息或未认证人脸识别 | 通过认证 | 存在漏洞 |
银行卡认证 | 未按照流程填写信息,可进行下一步跳转操作,绕过验证 | 通过认证 | 存在漏洞 |
手持身份证 | 未按照流程填写信息,可进行下一步跳转操作,绕过验证 | 通过认证 | 存在漏洞 |
营业执照普通 | 绕过填写信息或等待审核过程 | 通过认证 | 存在漏洞 |
营业执照第三方 | 绕过填写信息或等待审核过程 | 通过认证 | 存在漏洞 |
营业执照法人 | 绕过填写信息或人脸识别步骤 | 通过认证 | 存在漏洞 |
对公账号 | 绕过填写信息、等待汇款、填备注码步骤 | 通过认证 | 存在漏洞 |
其他 | 酌定 |
(4)个人认证、企业认证、特殊资质认证等敏感数据泄露:
a) 要求泄露来源为58相关站点内
i. 包括但不仅限于人脸认证、银行卡实名、手持身份数据泄露;
ii. 包括但不仅限于营业执照法人、对公账号、营业执照数据泄露;
b) 较为模糊、有水印、去水印、P图、不可再次使用的营业执照或证件图片,不属于泄露范畴。
(5)其他黑产威胁情报、黑产工具:
a) 有效情报形式:
i. 提供黑产已进行了前述问题相关攻击的情报,如用于自动过认证的工具、网站、接口、数据库等;
ii. 提供具体可以实施前述问题相关攻击的黑产工具、售卖工具的网站、售卖工具的qq或微信联系人等;
b) 有效情报认定情报本身需满足前述对应类型报告的审核要求;
c) 奖励倾斜
i. 若白帽子没有进行有效的情报/工具分析,亦没有其他协助处置的行为,报告奖励将按对应类型及等级的奖励*0.9发放;
ii. 若白帽子主动进行了情报/工具分析,且达到“还原了攻击原理、漏洞原理“程度的,将给与奖励金额*1.1至1.3的奖励倾斜;
d) 提交报告内容
i. 对应问题类型的报告内容;
ii. 其他有效的协助处理、分析的内容(非必要)
6 定级与奖励标准
除非另有说明,一般一份报告只能收到一次性金币奖励,目前所有类型的问题统一按定级给与金币奖励,审核人员有权根据实际情况提升定级和奖励标准,部分问题类型仅接受部分级别的问题报告,具体请参看下表,若有不明之处,请及时联系运营。
报告的问题类型 | 中危 | 高危 | 严重 |
身份信息不一致,可认证成功 | 酌定 | 使用非技术手段绕过 | 使用技术手段绕过 |
绕过正常程序流程,可认证成功 | 绕过以下任意认证流程:微信认证、手持身份证、银行卡实名认证 | 绕过以下任意认证流程:人脸认证、网关认证前置流程 | 绕过以下任意认证流程:营业执照普通、法人、第三方与对公账号 |
敏感数据泄露 | 泄露可用于认证或构造认证的数据,泄露数据大于500条 | 泄露可用于认证或构造认证的数据,泄露数据大于10000条 | 泄露可用于认证或构造认证的数据,泄露数据大于50000条 |
其他威胁情报 | 与对应报告的问题类型一致 |
扫码关注,更多福利在等你
58安全应急响应中心希望与业界同仁共同建立诚信、安全、可靠的安全平台。同时通过白帽英雄们反馈的58集团漏洞和威胁情报,不断提升58产品和业务的安全。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)