漏洞盒子项目上新:去哪儿网站及APP安全测试

2014-08-11 273644人围观 ,发现 20 个不明物体 活动

去哪儿是中国领先的旅游搜索引擎,目前全球最大的中文在线旅行网站,创立于2005年2月,总部在北京。此次测试目标为去哪儿WEB网站(含子域名)以及官方手机APP。 

日前,去哪儿与FreeBuf达成合作协议,由FreeBuf的白帽子测试其网站的安全性,要求不能影响其网站的正常运行。

注:厂商鼓励白帽子发现高危漏洞,如用户订单相关的、或者逻辑设计上方面的漏洞,XSS为低危漏洞。 

测试内容包括: 

- 业务是否正确的实现,包括开发中的错误,网络/系统/应用中的安全漏洞等 。 

 - 业务流程逻辑是否合理,是否满足安全需求,如是否设置了合适的安全策略,安全机制是否可能存在绕过的可能,是否能抵挡外部的攻击等

奖品介绍:

高危安全问题(费用3000元/个 RANK 15):

直接获取业务服务器和移动APP权限的漏洞。包括但不限于任意命令执行、上传webshell、任意代码执行;直接导致严重的信息泄漏漏洞。
包括但不限于核心DB的SQL注入漏洞;直接导致严重影响的逻辑漏洞。
包括但不限于任意帐号密码更改漏洞。能直接批量盗取用户身份信息的漏洞。
包括但不限于SQL注入;越权访问。包括但不限于绕过认证访问后台。

中危安全问题(费用1500元/个 RANK 10):

需交互才能获取用户身份信息的漏洞。包括但不限于任意文操作漏洞。
包括但不限于任意文件读、写、删除、下载等操作;越权访问。
包括但不限于绕过限制修改用户资料、执行用户操作;比较严重的信息泄漏漏洞。包含敏感信息文件泄露(如DB连接密码)。

低危安全问题(费用100元/个 RANK 5):

普通逻辑漏洞;普通信息泄露;需交互才能获取用户身份信息并且有一定利用难度的漏洞。 
本次项目不接收以下三类问题的漏洞:
绕过WAF未对业务系统造成影响的
非登录相关界面的url跳转
不会造成用户隐私信息泄露的CSRF

评估范围如下: 

*. qunar.com 
去哪儿网全部新版APP应用程序(iOS、Andriod、WP)

本次不包含内网信息系统

注意:

1、漏洞在未公布之前禁止对外公开
2、禁止使用DDOS,自动化扫描工具等可能影响正常业务的攻击手法
3、涉及以上行为账户赏金将冻结
4、赏金总额达到上限后,项目可能提前结束,参加测试同学请抓紧时间哦:)

测试时间:

2014年8月11日 – 2014年9月11日

项目地址:

https://www.vulbox.com/home/bounties

如有问题请联系客服QQ 1951415100

除此之外,所有参与该项目测试的白帽子,只要最终确定漏洞数排名TOP5的,就能获得 #漏洞盒子挖洞套餐# 一份,可选择如下A、B两款套餐任意一份:

挖洞套餐A:

加多宝一箱 泻火凉茶 310ml 6罐
张君雅 碳烤鸡汁点心面 2袋
乐事薯片(意大利香浓红烩味)1袋

挖洞套餐B:

三得利一箱 超纯啤酒 330ml 6罐
黄飞红 麻辣花生 2袋
啤酒搭档 海牌 海苔2g*10(韩国) 2袋

在这个炎热的夏日,寂寞的夜晚,快加入漏洞盒子,让挖洞不再孤单!

这些评论亮了

  • anlfi (5级) 回复
    包括但不限于核心DB的SQL注入漏洞,
    包括但不限于绕过认证访问后台。
    好像发现了些什么
    so
    1.你们的DB是独立的 非分布式管理db
    且如果拿到db所有数据都在上面且有连接直接访问核心db
    2.系统通过后台管理 处于外网可访问的环境
    并不仅限于一个入口会 可能出现其他问题
    总感觉话中有话的感觉 第一次发现 非具体说明但指定地方需要被检测的厂商
    )10( 亮了
发表评论

已有 20 条评论

取消
Loading...

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php