618狂歡將至,
PSRC 14天活動狂歡怎能錯過!
高危、嚴重漏洞獎勵全面升級,
單個漏洞最高獎勵2萬元!
還在等什麼
快來提交吧!
#01 活動詳情
About the Event
活動時間:
2022年6月17日0點至6月30日24點
活動範圍:
平安銀行、平安科技、平安產險、平安壽險、平安健康險(每個專業公司的活動範圍具體見活動頁面)
漏洞獎勵:
漏洞等級
| 升級後獎勵 | 原獎勵 |
嚴重 | 12000~20000 | 5000~8000
|
高危 | 4000~9000 | 2000~4000 |
中危 | 200~1000 | 200~1000 |
低危 | 50~200 | 50~200 |
#02 漏洞定級
Vulnerability Ranking
注意,嚴重、高危漏洞定級規則有變化哦~
嚴重漏洞
1、可獲取系統許可權或者控制核心生產網的漏洞,包括但不限於任意程式碼執行、任意命令執行、SQL隱碼攻擊獲取核心系統許可權、上傳Webshell並可執行等;
2、嚴重級別的敏感資訊洩露,包括但不限於核心系統SQL隱碼攻擊漏洞、導致能獲取特大量使用者三種敏感欄位及以上敏感資料的介面引發的資訊洩露等。
*向上滑動顯示全部
高危漏洞
1、高風險的資訊洩露漏洞,包括但不限於SQL隱碼攻擊漏洞、洩露使用者賬戶支付相關資訊洩露、核心功能的原始碼洩露、洩露使用者隱私資訊、洩露可用的資料庫連線資訊等;
2、可獲取重要系統許可權,包括但不限於透過弱口令或未授權等方式獲取網路裝置許可權、安全裝置許可權、大資料系統許可權、堡壘機許可權、辦公系統許可權、郵箱許可權、終端許可權、雲管理平臺許可權;
3、邏輯越權類漏洞,包括但不限於繞過認證直接訪問管理後臺可操作、越權可獲取大量使用者敏感資訊、任意使用者登入可檢視使用者敏感資訊等;
4、非本次活動平安公司業務,但平安活動公司是該業務的使用者,且可獲取大量平安使用者資訊、平安工作檔案、平安原始碼資訊等;
5、能直接訪問內網且可獲取回顯的SSRF漏洞;
6、訪問任意系統檔案的漏洞,包括但不限於任意檔案包含、任意檔案讀取、任意檔案刪除等。
中危漏洞
1、普通訊息洩露,包括但不限於包含伺服器或資料庫敏感資訊的原始碼壓縮包下載、springboot未授權訪問敏感端點資訊等;
2、普通的邏輯缺陷和越權,包括但不限於一般功能的越權行為和設計缺陷、可越權訪問少量使用者敏感資訊、以及對經濟價值影響較小的漏洞;
3、需互動才能獲取使用者身份資訊的漏洞,包括但不限於敏感操作的CSRF,json hijacking、可造成嚴重危害的儲存型XSS、需要使用者點選的WebView元件漏洞等;
4、弱驗證機制引發的漏洞,包括但不限於帳戶相關暴力破解並且可成功登入等漏洞;
5、能直接訪問平安內網但無回顯的SSRF漏洞;
6、重要功能的CSRF,包括但不限於可互動修改他人密碼、刪除重要資訊等。
*向上滑動顯示全部
低危漏洞
1、可被利用於釣魚攻擊的漏洞,包括但不限於URL重定向漏洞等;
2、輕微資訊洩露:伺服器敏感資訊的日誌檔案下載、客戶端明文儲存密碼;
3、提供poc但難以利用的安全隱患。包括但不限於可能引起傳播的self-xss、不能引起較大危害的儲存型XSS、反射型XSS(包括反射型DOM-XSS,Flash型XSS)等;
4、無法獲得資料的SQL隱碼攻擊漏洞;
5、一般資訊洩露漏洞:包括但不限於SVN檔案洩露、LOG檔案洩露、Phpinfo等;
6、存在越權,但利用難度較大的漏洞,包括但不限於引數無規律且無法透過其他途徑獲取的越權漏洞等;
無影響漏洞
1、不涉及安全問題的BUG,包括但不限於產品功能缺陷、頁面亂碼、樣式問題;
2、無法利用的漏洞,包括但不限於難以利用的self-xss、非敏感操作的CSRF、使用者弱口令、無敏感資訊的json hijacking、無意義的原始碼洩露、內網ip地址/域名洩露、後臺資訊洩漏、路徑資訊洩露、TFS資訊洩露、網站路徑洩露、不能解析的任意檔案上傳、沒有實際意義的掃描器漏洞報告、無敏感資訊的svn檔案/phpinfo/logcat等等;
3、不能重現的漏洞,包括但不僅限於PSRC工作人員確認無法重現的漏洞;
4、運營預期之內或無法造成資金損失的問題,包括但不限於使用多個賬號領取小額獎勵的正常業務活動;
5、移動端:
不涉及安全問題的bug。包括但不限於產品功能缺陷、頁面亂碼、樣式混編、靜態檔案目錄遍歷、應用相容性等問題等;
無實際意義的漏洞。包括但不限於無意義的列印,沒有實際意義的掃描器漏洞報告(如:硬編碼、無混淆,Activity元件劫持、未加固/脫殼反編譯、Janus簽名繞過等);
實際業務需要配置的有風險的許可權但是無法利用的漏洞;
無法重現的漏洞、不涉及敏感資訊的資訊洩露、不能直接體現漏洞的其他問題。包括但不限於純屬使用者猜測的問題;
低影響的本地DoS攻擊;
6、PC端:無利用價值的Crash等。
針對非生產環境漏洞,最高評級為高危。
#03 提交漏洞
Submit Report
登陸平安集團安全應急響應中心(PSRC)官網,點選「眾測活動」,點選活動相對應的專業公司頁面提交漏洞即可。
*活動頁面在活動開始後顯示
活動直達連結:
https://isrc.pingan.com/homePage/award