2024.3.4 10:00 - 2024.3.11 10:00
*.dingtalk.com
*.aliwork.com - 说明1
*.teambition.com - 说明2
说明2:us*.teambition.com不收;teambition业务越权类漏洞不收。
a.专有钉钉参加众测的saas环境,是开发测试环境。为了方便开发,设置了多个租户。但是真实环境只有1个租户,是无租户间越权的问题的。saas环境为了模拟线上,是没有做租户隔离的,因此存在这种越权。
b.建议白帽子不要挖掘租户间越权的问题,因为saas环境要尽量模拟真实环境,是无法整改的,且saas环境无真实用户,都是开发测试账户,因此风险可控,不作为安全漏洞处理。
漏洞定级标准和更多业务信息,可参见:
https://asrctenant.security.alibaba.com/#/tenant/10
严重报告 22500元
中危报告 1800元
低危报告 400元
1、测试越权等问题时,请严格限制在测试账号范围内测试,避免影响正常用户。
3、若以上要求确实无法避免的,请及时联系ASRC运营人员,获得同意后再测试,涉及到真实账号、用户信息遍历等问题,请严格限制读取条数。
4、不能破坏线上服务的稳定运行,禁止测试任何蠕虫类、拒绝服务类(服务端)漏洞、可能导致拒绝服务的漏洞;客户端拒绝服务漏洞严格控制影响范围。
1、本次众测请勿使用任何形式的自动化测试工具、脚本进行测试、暴力破解、Fuzzing等。
2、遵守SRC测试规范,对于可深入利用的漏洞需要联系运营人员确认后才能继续,如后台弱口令登录后的功能查看、信息查看、漏洞深挖等。3、漏洞确认以接口为准。譬如网站和app都存在任意密码重置漏洞,但是接口完全一致,算一个漏洞,请知晓。
4、通过弱口令、爆破等方式进入管理后台后发现的注入、越权等漏洞会做打包或者降级处理。
5、本次只有第一个提交的漏洞会被确认(漏洞描述不清的直接忽略) ,其余按照重复忽略。
6、SQL注入要求至少到注出数据库名称,不达标按驳回处理。
7、如果业务全站都未做过滤,存在十几个或者几十个注入等漏洞,ASRC会做一定的特殊处理,仅确认前三个,不提倡刷洞。
8、同一功能模块下多个注入点或者多个XSS、CSRF、越权等算一个漏洞。
9、测试过程中发现问题,请联系观行处理。
10、请按照漏洞标准正确勾选等级,勿随意勾选严重漏洞等级。
11、本次活动只接收符合以上标准的漏洞。
12、禁止使用大型自动化扫描工具,避免对用户的生产系统造成意外破坏,尽量手测;请勿进行可能影响服务稳定的测试,如DoS等。
13、禁止利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,同时阿里巴巴集团保留采取进一步法律行动的权利。
公众号|阿里安全响应中心
Twitter|AsrcSecurity
和阿里巴巴一起,为数亿用户的安全保驾护航
文章来源: https://mp.weixin.qq.com/s?__biz=MzIxMjEwNTc4NA==&mid=2652993629&idx=1&sn=b8e9f9454f0f8db72a1a18f6863bff08&chksm=8c9ef70abbe97e1cd8b3949ddf448f9a1236971c1d250e3e33e56e849902042e648aac9e885c&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh