第1432期 某厂商Web及APP安全测试

第1432期 某厂商Web及APP安全测试

预计2020年06月29日20点启动

赏金等级

加入

360加密邮APP(含服务端)+ PC客户端安全测试

本次漏洞盒子测试项目为:360加密邮APP(含服务端)+ PC客户端奇虎360公司授权和欢迎漏洞盒子及FreeBuf的白帽子对其最新产品“360加密邮”进行安全测试,奖金丰厚。

关于360加密邮

2013年曝光的斯诺登事件,披露了每过NSA窃听多国征服和企业高层邮件的信息,引发了国际社会的广泛关注。2014年,263的邮件服务服务器遭黑客入侵,导致1.6万企业的邮箱被窃取。

针对这类安全问题,360推出360加密邮系统。该加密系统基于国家密码管理局颁发的SM9加密方式,能够为每个邮箱设置单独的“安全密码”。在邮箱发送时选择“加密发送”即可自动为邮件加密,而邮件接受者也必须凭借“安全密码”才能解封查看该邮件内容。

360加密邮支持PC和移动平台,兼容163、126、QQ等主流邮箱服务。

测试范围

360加密邮产品APP(含服务端) + PC客户端

漏洞定义及奖金规则

高危漏洞

奖金范围:3000 - 10000

1)  直n接获取权限的漏洞(服务器权限、客户端权限)。包括但不限于远程任意命令执行、可利用远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、可利用浏览器nuse after free 漏洞、可利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞

2)  直接导致严重的信息泄漏漏洞。包括但不限于重要 DB 的 SQL 注入漏洞

3)  直接导致严重影响的逻辑漏洞。包括但不限于伪造任意号码发送消息、伪造弹 TIPS 漏洞、任意帐号密码更改漏洞

4)  属于360移动客户端产品的自身开发功能的漏洞(不含Android系统漏洞).以远程方式获取移动客户端权限执行任意命令和代码,漏洞场景包括但不仅限于远程端口连接、浏览网页和关联文件打开等远程利用方式。

中危漏洞

奖金范围:500 - 3000

1) 能直接盗取用户身份信息的漏洞。包括重要业务的重点页面的存储型 XSS 漏洞、普通站点的 SQL 注入漏洞

2) 越权访问。包括但不限于绕过认证访问后台、后台登录弱口令

3) 高风险的信息泄漏漏洞。包括但不限于源代码压缩包泄漏

4)n 本地任意代码执行。包括但不限于本地可利用的堆栈溢出、UAF、double free、format nstring、本地提权、文件关联的 DLL 劫持(不包括加载不存在的DLL 文件及加载正常 DLL 未校验合法性)以及客户端产品的远n程 DoS 漏洞、其它逻辑问题导致的本地代码执行漏洞

5) 直接获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、浏览器 use after free 漏洞、远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行漏洞

6) 可获取敏感信息或者执行敏感操作的重要客户端产品的 XSS 漏洞

7) 属于360移动客户端产品的自身开发功能的漏洞(不含Android系统漏洞),第三方应用可以跨应用调用移动客户端产品的功能完成一些高危操作,包括但不仅限于文件读写,短信读写,客户端自身数据读写等。

8) 需交互才能获取用户身份信息的漏洞。包括但不限于反射型 XSS(包括反射型 DOM-XSS)、JSON Hijacking、重要敏感操作的 CSRF、普通业务的存储型XSS

9) 远程应用拒绝服务漏洞、产品本地应用拒绝服务漏洞、敏感信息泄露、内核拒绝服务漏洞、可获取敏感信息或者执行敏感操作的客户端产品的 XSS 漏洞

10)  普通信息泄漏漏洞。包括但不限于客户端明文存储密码、密码明文传输、包含敏感信息

11)  导致360移动客户端敏感信息泄露的漏洞(不含Android系统漏洞),漏洞场景包括但不仅限于调试信息,逻辑漏洞,功能访问等导致的信息泄露。敏感信息包括但不仅限于用户名、密码、密钥、手机串号等移动客户端产品自身重要数据和隐私信息。

低危漏洞

奖金范围:100 - 500

1) PC 客户端及移动客户端本地拒绝服务漏洞。包括但不限于组件权限导致的本地拒绝服务漏洞。

2) 越权访问。包括但不限于绕过登陆验证访问敏感功能

3)  难以利用但又可能存在安全隐患的问题。包括但不限于可能引起传播和利用的 Self-XSS以及非重要敏感操作的 CSRF

4)  导致360移动客户端拒绝服务的漏洞(不含Android系统漏洞),利用该漏洞可以直接结束移动客户端进程。漏洞利用场景包括但不仅限于跨应用调用、远程浏览网页等本地或远程利用方法。

注意事项

1、漏洞在未公布之前禁止对外公开

2、禁止使用DDOS,自动化扫描工具等可能影响正常业务的攻击手法

3、不得以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为

4、涉及以上行为账户赏金将冻结,同时360将采取进一步法律行动。

5、漏洞提交者提供可验证的漏洞、缺陷的Poc (proof of concept)

附加奖励

除此之外,所有参与该项目测试的白帽子,最终确定漏洞数排名TOP5的,立即获得 #漏洞盒子挖洞套餐(秋冬版)# 一份,可选择如下A、B两款套餐任意一份:

挖洞套餐(秋冬版)

A套餐

三得利沁柠水 550ML*6 n上好佳鲜虾条 *2 n北田 能量99棒 蛋黄口味 180g *1

B套餐

红牛 250ML*4n旺旺仙贝 52G *1n有友凤爪 100G *1

立即参加测试

https://www.vulbox.com/bounties/info/id/67


商务咨询:400-156-9866
商务邮箱:mkt@vulbox.com

电话服务(周一至周五 早9:00–18:00)