返回公告主页

我们希望能够借助集体的力量提升我们的安全水平 

ASRC站点奖励升级系列活动


持续时间: 2015.6.15 - 2015. 7.15


在以上期限内提交以下站点:(不包括移动端、pc客户端)


*.cnzz.com*.cnzz.net

*.yunos.comyun.taobao.comdjango.t.taobao.comkanbox.comapps.aliyun.com


以下漏洞


严重,本等级包括:

1、直接获取核心系统权限的漏洞(服务器权限)。包括但不仅限于远程命令执行、任意代码执行、上传获取WebshellSQL注入获取系统权限、缓冲区溢出。

2、直接导致业务拒绝服务的漏洞。包括但不仅限于直接导致网站应用拒绝服务等造成严重影响的远程拒绝服务漏洞。

3、严重的敏感信息泄漏。包括但不仅限于核心 DB(资金、身份、交易相关) SQL 注入,可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露。

4、严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。

高危,本等级包括:

1、敏感信息泄漏。包括但不仅限于非核心DB SQL注入、源代码压缩包泄漏、服务器应用加密可逆或明文。

2、敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息的SSRF

3、越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改等较为重要的越权行为。


活动期间提交上述漏洞所获得的安全币翻倍!非核心应用单个漏洞也最高可获得4800的奖励!

小伙伴们加油


另外以下范围的漏洞依旧按照原标准进行收取:

淘宝网、天猫、一淘、一淘海淘、淘点点、天猫超市、喵街、淘宝大学、淘帮派、淘生活、去啊旅行、淘宝联盟、淘宝房产、二手淘宝、淘宝江湖、淘宝天下、淘宝客卖家、淘云盘、聚划算、逼格、淘女郎、淘金币、淘宝电影、淘宝判定、淘宝达人、淘宝搜索、淘宝特卖、淘宝网厅、淘宝游戏、淘宝阅读、淘宝拍卖、淘宝子账号、淘宝客服、淘宝美妆、菜鸟物流、手淘、淘宝论坛、来往、钉钉、旺旺等……

阿里巴巴国际、1688、全球速卖通、阿里通信、阿里小智、阿里妈妈、阿里云、万网、阿里yunos、阿里金融、阿里招聘、阿里规则、阿里亲心、阿里云开发者、阿里云邮、阿里健康、千牛、kanbox、阿里巴巴应急响应中心、云盾先知计划等

蚂蚁金服集团、支付宝、支付宝航旅专业版、支付宝钱包、支付宝卡券平台、余额宝、招财宝、蚂蚁微贷、各种第三方应用(水电煤、违章、挂号、领证等等)、支付宝论坛、集分宝等

其他:虾米、天天动听、高德、UC(神马)、CNZZ、友盟、11mainphpwind