平安SRC漏洞专测活动

平安SRC

漏洞专测活动

3月有暖阳和微风

有春花烂漫和绿草如茵

有平安SRC漏洞专测活动

所有糟糕的都是过往

所有的美好都在3月相遇

*仅专测范围按此评级奖励

活 动 说 明

测试范围：每周四在漏洞专测群提供最新测试范围。

活动时间：3月3日-4月4日

活动报名条件：

1. 白帽子需在平安SRC完成实名认证；

2. 添加平安SRC管理员微信：296816085；

3. 管理员验证资质后邀请进入专测群；
   

4. 漏洞标题需带上【专测】，否则按常规漏洞处理；

5. 白帽子需严格遵守《平安SRC漏洞提交规范》/《PSRC用户服务协议》

严 重

 1、直接获取系统权限（服务端权限、客户端权限）的漏洞，包括但不限于任意代码执行、任意命令执行、上传Webshell并可执行等；

2、生产业务系统严重的逻辑设计缺陷，包括但不限于账户、支付方面的安全问题，如任意账号登录、任意账号密码修改、任意账号资金消费、支付交易方面的严重问题；

3、充分挖掘可批量获取公司敏感信息，包括客户类信息（客户姓名、证件号、证件号码、电话号码、客户地址等）、财务类信息（包括员工薪酬表、预算信息、财务报表、结算信息、提成信息、收入信息等）、金融类信息（用户的银行名称、银行账号、户名、支付密码、信用记录等。)每类信息必须包含三个内容字段以上。

高 危

1、高风险的信息泄露漏洞，包括但不限于DB的SQL注入漏洞，泄露用户账户支付相关信息泄露，核心功能的源代码泄露（含算法，重要业务逻辑等），泄露用户隐私信息等；

2、越权访问，包括但不仅限于绕过认证直接访问管理后台可操作，应用非授权访问、应用后台弱密码等，能通过泄露的token/session登录系统或通过泄露的接口获取高风险敏感信息的springboot未授权访问等；

3、移动端：能够远程获取大量用户敏感信息的漏洞，安装恶意app在新版安卓原生环境下的 app 克隆类漏洞，需安装App才能读取用户敏感隐私数据类漏洞，恶意app跨应用调用移动客户端的功能完成一些高危操作（如文件读写，短信读写，客户端自身数据读写等）。

4、大范围影响用户信息或资金方面的其他漏洞。

中 危

1、普通信息泄露，包括但不限于包含服务器或数据库敏感信息的源代码压缩包下载、springboot未授权访问敏感端点信息等。

2、影响应用正常运转，造成不良影响的漏洞，包括但不限于应用层拒绝服务等；

3、弱验证机制引发的漏洞，包括但不限于可暴力破解的加密方式、未做访问次数限制的业务相关接口，帐户相关暴力破解且成功获取帐户信息等。

4、需交互才能获取用户身份信息的漏洞，包括但不限于敏感操作的CSRF，json hijacking、可造成严重危害的存储型XSS等

5、移动端：有资金或虚拟货币交易类应用未正确校验https证书（其他应用类型未正确校验https证书，根据业务范围评级低或无影响），需要安装 app 读取用户敏感信息类漏洞，需安装App在较旧的安卓原生环境下才能做到 app 克隆类漏洞，普通的信息泄露（参见第1条）等

低 危

1、可被利用于钓鱼攻击的漏洞，包括但不限于URL重定向漏洞等

2、轻微信息泄露：服务器敏感信息的日志文件下载、客户端明文存储密码

3、提供poc但难以利用的安全隐患。包括但不限于可能引起传播的self-xss、不能引起较大危害的存储型XSS、反射型XSS（包括反射型DOM-XSS，Flash型XSS）等

4、移动端：需要复杂的环境和条件才能触发的漏洞，特定场景且需要用户配合才能造成的安全漏洞，轻微的信息泄露等

注：专测范围之外的漏洞按照psrc评分标准进行评分。