阔知成立安全应急响应中心,提交漏洞有奖

2016-11-29 09:36:44

阔知安全应急响应中心(CODEAGES Security Response Center)是阔知致力于维护健康的互联网生态环境,保障阔知产品和业务线的信息安全,促进与安全专家、互联网极客以及兴趣爱好者的合作与交流,而建立的漏洞收集及应急响应平台。本平台收集阔知公司各产品线(EduSoho气球云、题库、资源库)及业务上存在的安全漏洞,同时,我们也希望借此平台加强与业内各界的安全合作,共同打造简单可依赖的教育互联网健康生态。

阔知安全应急响应中心

漏洞等级

【严重】

严重的敏感信息泄露,包括但不限于可以获取重要数据的 SQL 注入漏洞(如用户帐号密码)、源代码泄露以及任意文件读取和下载漏洞(如包含重要服务口令)等;

直接获取系统权限的漏洞,包括但不限于远程任意命令执行、代码执行、任意文件上传获取 webshell、缓冲区溢出、SQL注入获取系统权限等;

严重的逻辑设计漏洞,包括但不限于任意账号登陆、任意账号密码修改、支付绕过漏洞、以任意人身份敏感操作等;

远程直接导致业务拒绝服务的漏洞,包括但不限于服务和系统中的远程拒绝服务攻击漏洞;

大范围影响用户的漏洞,包含但不限于容易利用的存储型 XSSCSRF等;

越权访问,包括但不限于绕过验证直接访问后台、后台登录弱口令、以及其他服务的弱口令等;

高风险的信息泄露,包括但不限于可以获取一般数据的 SQL 注入漏洞、源代码泄露以及任意文件读取和下载漏洞等。

【中等】

需要条件才能获取敏感信息(如cookie)的漏洞。包括但不限于反射型 XSS(包括反射型 DOM-XSS)、CSRF、普通业务的存储型 XSS

普通的信息泄露,包括但不限于包括可以轻微数据的SQL注入和难以利用的SQL注入

普通的越权操作以及设计缺陷和流程缺陷

【轻微】

URL跳转漏洞;

轻微的信息泄露,包括但不限于路径泄露、phpinfosvn 等;

难以利用但又可能存在安全隐患的问题;

【忽略】

无关安全的BUG,包括但不限于网页乱码、网页无法打开、产品某功能无法使用等;

无法利用的漏洞,包括但不限于没有实际意义的扫描器漏洞报告(如 Web Server 的低版本)、Self-XSS、无敏感信息的 JSON Hijacking、无敏感操作的 CSRF(如收藏、非重要业务的普通个人资料修改等)、无意义的源码泄漏、内网 IP 地址/域名泄漏、401 基础认证钓鱼、程序路径信任问题、无敏感信息的 logcat 信息泄漏

提交规则

将漏洞报告,以邮件的方式发送到邮箱:security@edusoho.com ,需包括漏洞的详细说明、漏洞证明、修复方案,以及您的联系电话、QQ

我们收到漏洞报告后,会第一时间与您取得联系,进行漏洞确认。

对于提交漏洞并且认可的用户将会获得奖励

本文来源:   EduSoho