freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

以梦为马 莫负韶华—404年终总结女娲计划篇
2021-01-22 18:24:51

相传远古时代,天柱倾倒,天塌地陷,百姓深受猛禽恶兽残害。为拯救百姓于水深火热之中,女娲炼彩石、斩鳖足、修补苍天、重立四极天柱。故天地得以平整,人类得以安居。此后,世人便将女娲奉为补天救世的英雌和开世造物的“大地之母”!

在网络安全世界中,安全漏洞就如同猛禽恶兽,威胁着个人、集体乃至国家的利益。在此背景下,“女娲计划”于2019年11月应运而生!

作为国内第一个对标国外著名漏洞平台的漏洞收取平台,“女娲计划”脱离Seebug独立运营!

"女娲计划"是针对超高价值的0day漏洞及利用技术研究奖励计划,对包括主流PC及移动操作系统、流行服务端或客户端软件应用、网络设备、虚拟系统逃逸等在内的0day安全漏洞及相关利用技术研究项目提供丰厚的奖金,且最高单个漏洞奖励可达¥20,000,000!

截至2021年1月,"女娲计划"的收录范围已覆盖了271种产品和厂商;截至今日,"女娲计划"已发出的漏洞奖金累计近千万~

目前,“女娲计划”已更新2.0版本,添加了大量的Web应用及厂商,在之前的基础上达到了优化升级,为大家提供更好的参与体验~

项目地址:https://nvwa.org/

女娲计划更新收录范围

今天,女娲计划再次更新了收录范围,添加了92个常见的厂商以及产品,快来看看你有没有0day吧~~

targettypetopprice
ActiveMQRCE50,000
anymacro安宁邮箱RCE /AUL500,000
Apache ShiroRCE100,000
Apache SparkRCE20,000
Apache Struts2RCE500,000
Apereo CASRCE /AUL100,000
Atlassian JiraRCE300,000
CactiRCE20,000
CitrixRCE350,000
CISCO SSL VPNRCE /AUL500,000
CISCO firewallRCE500,000
ConfluenceRCE /AUL300,000
CoremailRCE /AUL500,000
DedecmsRCE50,000
DiscuzRCE50,000
easysiteRCE30,000
ECShopRCE20,000
EmpireCMSRCE20,000
F5 BIG-IPRCE500,000
FastjsonRCE500,000
Fortinet(飞塔) FirewallRCE50,000
GiteaRCE50,000
GitlabRCE50,000
HadoopRCE50,000
HarborRCE20,000
JbossRCE500,000
JenkinsRCE50,000
jettyRCE300,000
kxmailRCE /AUL50,000
JFinalRCE20,000
LaravelRCE20,000
MetInfoRCE10,000
Microsoft SharePointRCE200,000
ModSecurityRCE20,000
NexusRCE20,000
outlookRCE /AUL1,500,000
PhpcmsRCE50,000
PhpmyadminRCE100,000
Pulse Secure VPNRCE /AUL500,000
redmineRCE150,000
resinRCE100,000
richmail(thinkmail)RCE /AUL100,000
SaltStackRCE20,000
SiteServerRCE20,000
Spring BootRCE500,000
Spring Security OauthRCE50,000
ThinkphpRCE500,000
turbomailRCE /AUL20,000
VMware vCenterRCE100,000
WeblogicRCE350,000
WebminRCE50,000
websphereRCE300,000
winmailRCE /AUL350,000
XAMPPRCE20,000
ZabbixRCE500,000
ZimbraRCE /AUL150,000
时代亿信邮箱RCE /AUL200,000
微擎RCE10,000
禅知RCE20,000
宝塔RCE20,000
禅道/zentaoRCE50,000
致远oaRCE /AUL50,000
用友RCE /AUL50,000
通达oaRCE /AUL20,000
帕拉迪堡垒机RCE /AUL50,000
齐治堡垒机RCE /AUL100,000
大汉cmsRCE20,000
泛微RCE /AUL50,000
金蝶RCE50,000
万户ezofficeRCE20,000
拓尔思 TRSWASRCE20,000
亿邮RCE /AUL50,000
税友RCE50,000
jeecmsRCE20,000
JeeSiteRCE10,000
jacksonRCE500,000
蓝凌oaRCE /AUL50,000
expressRCE50,000
ADCRCE20,000
TPlinkRCE50,000
dlinkRCE50,000
锐捷RCE50,000
爱快流控路由RCE50,000
HanSight EnterpriseRCE50,000
日志易RCE50,000
堡垒机RCE /AUL50,000
jumpserverRCE /AUL50,000
phpStudyRCE20,000
TeamViewerRCE50,000
向日葵RCE50,000
FusionAccessRCE50,000
常用安防类产品(防火墙、VPN、IDS、IPS、主机安全、终端安全等)RCE50,000

ps: ALL:RCE + LPE;RCE(Remote Code Execution):远程代码执行;LPE(Local Privilege Escalation):本地权限提升;SBX(Sandbox Escape Bypass):沙盒逃逸绕过;VME(Virtual Machine Escape):虚拟机逃逸;FCWP(Full Chain (Zero-Click) with Persistence):完整的利用链;AUL:任意用户登录

常见问题

1.邮箱 请使用您的常用邮箱,在漏洞确认期间,我们会通过邮件和您联系。

2.漏洞接收范围? 我们重点主要关注"女娲计划"给出的目标范围内的相关0day漏洞,目标范围相关的漏洞收取会定期更新,请随时关注目标列表。 您的漏洞在我们给出的目标范围之外,如果漏洞影响大并且严重,也可能成为我们的接收目标,可直接提交,我们评估后联系回复您。

3.我能得到多少漏洞奖金? 在您提交漏洞简介时会一并提交漏洞自评价格,我们会根据您提交的漏洞信息评估您的漏洞价值并和您联系议价。只有在议价得到双方认可之后,流程才会进入到下一步。 在接收到漏洞样本详情之后,如果我们发现与您之前的描述不符,我们会根据您提及的漏洞细节进行二次议价。

4.我需要提交什么样的漏洞简介? 在流程开始阶段,请参考"漏洞提交"表单信息提交,到确定漏洞议价完成后需要提交漏洞详情说明及完整可靠的exploit。

5.在提交漏洞之后,我什么时候能拿到奖金? 在提交完整漏洞说明及exploit后,经过平台确认完整可靠后我们将根据最终议价结果发放奖金。奖金将在3个月内完成分期支付。 最终确定漏洞后1周内支付完成50%奖金,其余50%奖金作为保证金最终在漏洞确认后3个月内完成100%支付。 漏洞提交者应该为漏洞相关信息及程序保密,如果是由于漏洞提交者原因出现泄密情况我们会根据对应具体情况进行扣除或者取消奖励。

6."要求"内的交互相关要求(如"零交互")是什么意思? 交互相关要求是指攻击场景之外的其他任何交互动作,比如打开office打开文档或者浏览器打开链接、移动im等应用打开链接都算是"攻击场景",不属于"交互要求"范围内。

7.在沟通过程中,如果需要发送我认为敏感的信息怎么办? 在沟通过程中,如果你担心你发送的信息涉及到敏感信息,请使用我们的公开PGP密钥加密。

8.如果我有问题想要咨询怎么办? 如果有任何问题,请发送邮件到 root#nvwa.org。值得注意的是,这个邮箱不会沟通任何于实际漏洞相关的信息,当你提交表单之后,请于联系你的邮箱进行进一步沟通。

抽奖活动

奖品为:1个国行Switch+10个定制机械键盘~

详情请转至微信公众号@Seebug漏洞平台推文《以梦为马 莫负韶华—404年终总结女娲计划篇》查看!!!

# web安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者