漏洞盒子项目上新:去哪儿网站及APP安全测试

2014-08-11 237299人围观 ,发现 20 个不明物体 活动

去哪儿是中国领先的旅游搜索引擎,目前全球最大的中文在线旅行网站,创立于2005年2月,总部在北京。此次测试目标为去哪儿WEB网站(含子域名)以及官方手机APP。 

日前,去哪儿与FreeBuf达成合作协议,由FreeBuf的白帽子测试其网站的安全性,要求不能影响其网站的正常运行。

注:厂商鼓励白帽子发现高危漏洞,如用户订单相关的、或者逻辑设计上方面的漏洞,XSS为低危漏洞。 

测试内容包括: 

- 业务是否正确的实现,包括开发中的错误,网络/系统/应用中的安全漏洞等 。 

 - 业务流程逻辑是否合理,是否满足安全需求,如是否设置了合适的安全策略,安全机制是否可能存在绕过的可能,是否能抵挡外部的攻击等

奖品介绍:

高危安全问题(费用3000元/个 RANK 15):

直接获取业务服务器和移动APP权限的漏洞。包括但不限于任意命令执行、上传webshell、任意代码执行;直接导致严重的信息泄漏漏洞。
包括但不限于核心DB的SQL注入漏洞;直接导致严重影响的逻辑漏洞。
包括但不限于任意帐号密码更改漏洞。能直接批量盗取用户身份信息的漏洞。
包括但不限于SQL注入;越权访问。包括但不限于绕过认证访问后台。

中危安全问题(费用1500元/个 RANK 10):

需交互才能获取用户身份信息的漏洞。包括但不限于任意文操作漏洞。
包括但不限于任意文件读、写、删除、下载等操作;越权访问。
包括但不限于绕过限制修改用户资料、执行用户操作;比较严重的信息泄漏漏洞。包含敏感信息文件泄露(如DB连接密码)。

低危安全问题(费用100元/个 RANK 5):

普通逻辑漏洞;普通信息泄露;需交互才能获取用户身份信息并且有一定利用难度的漏洞。 
本次项目不接收以下三类问题的漏洞:
绕过WAF未对业务系统造成影响的
非登录相关界面的url跳转
不会造成用户隐私信息泄露的CSRF

评估范围如下: 

*. qunar.com 
去哪儿网全部新版APP应用程序(iOS、Andriod、WP)

本次不包含内网信息系统

注意:

1、漏洞在未公布之前禁止对外公开
2、禁止使用DDOS,自动化扫描工具等可能影响正常业务的攻击手法
3、涉及以上行为账户赏金将冻结
4、赏金总额达到上限后,项目可能提前结束,参加测试同学请抓紧时间哦:)

测试时间:

2014年8月11日 – 2014年9月11日

项目地址:

https://www.vulbox.com/home/bounties

如有问题请联系客服QQ 1951415100

除此之外,所有参与该项目测试的白帽子,只要最终确定漏洞数排名TOP5的,就能获得 #漏洞盒子挖洞套餐# 一份,可选择如下A、B两款套餐任意一份:

挖洞套餐A:

加多宝一箱 泻火凉茶 310ml 6罐
张君雅 碳烤鸡汁点心面 2袋
乐事薯片(意大利香浓红烩味)1袋

挖洞套餐B:

三得利一箱 超纯啤酒 330ml 6罐
黄飞红 麻辣花生 2袋
啤酒搭档 海牌 海苔2g*10(韩国) 2袋

在这个炎热的夏日,寂寞的夜晚,快加入漏洞盒子,让挖洞不再孤单!

这些评论亮了

  • anlfi (5级) 回复
    包括但不限于核心DB的SQL注入漏洞,
    包括但不限于绕过认证访问后台。
    好像发现了些什么
    so
    1.你们的DB是独立的 非分布式管理db
    且如果拿到db所有数据都在上面且有连接直接访问核心db
    2.系统通过后台管理 处于外网可访问的环境
    并不仅限于一个入口会 可能出现其他问题
    总感觉话中有话的感觉 第一次发现 非具体说明但指定地方需要被检测的厂商
    )10( 亮了
发表评论

已有 20 条评论

取消
Loading...
css.php