返回公告主页

我们希望能够借助集体的力量提升我们的安全水平 

ASRC新春活动第四波进行中

公告编号:ASRC-2016-4

公告来源:阿里巴巴集团安全应急响应中心

公告日期:2016-1-27

公告内容:


新春活动系列陆续发出,第四波盛装来袭啦!



高危双倍!活动结束两天内付款到账!!!


2016.1.25 - 2016. 2.1 提交 *.taobao.com  和 *.tmall.com高质量威胁情报高危和严重漏洞所获得的安全币翻倍!严重漏洞单个不算额外奖励最高可达12000元现金


部分严重漏洞通过评审可额外获取奖励现金2万-10万(人民币)


涉及可大批量获取账号信息、控制用户权限等漏洞或威胁情报;

涉及可大批量获取用户敏感信息,如订单信息等漏洞或威胁情报;

涉及可获取重要服务器控制权限等漏洞或威胁情报。




威胁情报类:

1、针对核心业务系统、办公网络的入侵情报。如核心生产服务器的入侵、核心数据库的拖库等;

2、重大0Day漏洞。如网站架构的漏洞;

3、对核心业务造成重大影响的威胁组织活动情报。

4、大规模核心敏感信息泄露。如用户资料信息、订单信息等。


安全漏洞类:

严重,本等级包括:

1、直接获取核心系统权限的漏洞(服务器权限)。包括但不仅限于远程命令执行、任意代码执行、上传获取WebshellSQL注入获取系统权限、缓冲区溢出。

2、严重的敏感信息泄漏。包括但不仅限于核心 DB(资金、身份、交易相关)  SQL 注入,可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露。

3、严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。

高危,本等级包括:

1、敏感信息泄漏。包括但不仅限于非核心DB SQL注入、源代码压缩包泄漏、服务器应用加密可逆或明文。

2、敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息的SSRF。

3、越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改等较为重要的越权行为。

4、大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS(包括存储型DOM-XSS)和涉及交易、资金、密码、店铺的CSRF。


注意事项(重要):

1、不能利用漏洞获取系统相关的数据。包含但不局限系统的敏感文件、应用配置、数据库内容、租户的数据等。

2、不能造成系统宕机和服务异常,如造成影响要及时通知到ASRC恢复处理。

3、不能采用DDOS方式造成服务不可用。

4、利用漏洞获取到系统权限后,请不要继续进行深度渗透行为。



其他提交漏洞的小伙伴也有福了!为了给大家过个好年!2.1晚上12点前ASRC挖漏洞兑换的现金,2月3号左右全部到账!


大家加油!