漏洞盒子项目上新:小米科技安全测试

2014-10-15 110799人围观 ,发现 15 个不明物体 活动

小米公司正式成立于2010年4月,是一家专注于智能产品自主研发的移动互联网公司。小米科技授权漏洞盒子(VulBox.COM)的白帽子进行为期一周的安全测试。漏洞将在厂商完全修复后公布,项目奖励为RANK、FB金币、3台 小米手机4 以及Cuptime智能水杯。

项目描述:

本次测试项目类型为“RANK项目”:

1、参与测试会奖励RANK和FB金币,FB金币可用于FreeBuf商城(shop.freebuf.com)礼品兑换

2、所有漏洞将在厂商修复后公开

3、项目结束后,漏洞盒子将公布参与此项目的“白帽子RANK排行榜”

榜单TOP3:小米手机4 各1台 (据说市面上抢不到…)
特别奖:Cuptime智能水杯


规则描述:

高危安全问题(RANK:100 FB金币 100/个 ):

直接获取业务服务器权限的漏洞。包括但不限于任意命令执 行、上传webshell、任意代码执行;直接导致严重的信息泄漏漏洞。包括但不限于核心DB的SQL注入漏洞;直接导致严重影响的逻辑漏洞。包括但不限 于任意帐号密码更改漏洞。能直接批量盗取用户身份信息的漏洞。包括但不限于SQL注入;越权访问。包括但不限于绕过认证访问后台。 

中危安全问题(RANK:30 FB金币 50/个):

需交互才能获取用户身份信息的漏洞。包括但不限于任意文件操作漏洞,任意文件读、写、删除、下载等操作;敏感信息泄漏漏洞。包含敏感信息文件泄露(如DB连接密码); 

低危安全问题(RANK:10):

包括但不限于反射型 XSS(包括反射型 DOM-XSS)、普通业务的存储型XSS。轻微信息泄漏漏洞,包括但不限于路径泄漏、SVN 文件泄漏、phpinfo。难以利用但又可能存在安全隐患的问题。包括但不限于可能引起传播和利用的 Self-XSS,以及非重要敏感操作的 CSRF。

测试时间:

2014.10.15 – 2014.10.21

测试范围:

mi.com下的子域名
order.mi.com
my.mi.com
xiaomi.cn下的子域名
bbs.xiaomi.cn
home.xiaomi.cn
www.xiaomi.cn
以及http://ucenter.miui.com/uc_server16/

注意事项:

1,禁止将项目的测试范围及规则对外公开

2,漏洞在未公布之前禁止对外公开

3,禁止使用DDOS,自动化扫描工具等可能影响正常业务的攻击手法

4,涉及以上行为账户赏金将冻结,厂商保留追究法律责任的权利。

此外:

所有参与该项目测试的白帽子,最终确定漏洞数排名TOP5的,立即获得 #漏洞盒子挖洞套餐(秋冬版)# 一份,可选择如下A、B两款套餐任意一份:

挖洞套餐(秋冬版)

A套餐

三得利沁柠水 550ML*6 

上好佳鲜虾条 *2 北田 

能量99棒 蛋黄口味 180g *1

B套餐

红牛 250ML*4

旺旺仙贝 52G *1

有友凤爪 100G *1

立即开挖传送门:点这里

这些评论亮了

  • 馬化騰 (3级) 做互联网必须要有创新思维! 回复
    雷军也太TM扣了吧————————————————————我都看不下去了
    )11( 亮了
  • FB客服 (8级) FreeBuf官方客服 回复
    经漏洞盒子与厂商沟通,决定将奖励追加到 3台 小米4 手机哦~~另外,作为rank项目,漏洞将在厂商完全修复后公布,届时白帽子还能通过“漏洞黑板报”学习到漏洞技术啦`(*∩_∩*)′
    )7( 亮了
发表评论

已有 15 条评论

取消
Loading...
css.php