618活动预热|阿里云全线双倍奖励活动
2024-4-28 11:36:32 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

#618活动预热#

阿里云全线双倍奖励活动即将开启

复制下方链接浏览器打开

或点击阅读原文可跳转至报名页面

https://security.alibaba.com/online/detail?id=174

活动时间

2024.4.29 10点 - 5.12 24点

活动奖励

活动范围内所有漏洞级别奖励双倍

王牌A奖励叠加

活动范围

参考 https://asrctenant.security.alibaba.com/?#/tenant/4中关键资产、核心资产、一般资产(超级资产不参与双倍奖励)下的所有云产品;及所有阿里云的有效站点,限以下域名:

*.aliyun.com

*.alibabacloud.com

不包括使用了阿里云域名,但实际为非阿里云的业务,包括但不限于:通义系列、Modelscope、阿里云邮、阿里云盘、Dataphin、BI、QuickBI、达摩院等,未能一一列出,以实际审核结果为准。

不包括阿里云售卖类问题

注意!!!

漏洞挖掘过程可能涉及安全策略的自动拦截和对抗,如WAF拦截、账号封禁等,近期可能无法解封,请务必使用个人测试账号

测试要求

1、测试越权等问题时,请严格限制在测试账号范围内测试,避免影响正常用户;
2、可能影响其他真实用户的Payload请在测试验证漏洞存在后及时删除;
3、若以上要求确实无法避免的,请及时联系ASRC运营人员,获得同意后再测试,涉及到真实账号、用户信息遍历等问题,请严格限制读取条数;
4、不能破坏线上服务的稳定运行,禁止测试任何蠕虫类、拒绝服务类(服务端)漏洞、可能导致拒绝服务的漏洞;客户端拒绝服务漏洞严格控制影响范围;
5、复购、并发等方式导致的业务资损类风险暂时不收。

注意事项

1、本次众测请勿使用任何形式的自动化测试工具、脚本进行测试、暴力破解、Fuzzing等;
2、遵守SRC测试规范,对于可深入利用的漏洞需要联系运营人员确认后才能继续,如后台弱口令登录后的功能查看、信息查看、漏洞深挖等;
3、漏洞确认以接口为准。譬如网站和app都存在任意密码重置漏洞,但是接口完全一致,算一个漏洞,请知晓;
4、通过弱口令、爆破等方式进入管理后台后发现的注入、越权等漏洞会做打包或者降级处理;
5、本次只有第一个提交的漏洞会被确认(漏洞描述不清的直接忽略) ,其余按照重复忽略;
6、SQL注入要求至少到注出数据库名称,不达标按驳回处理;
7、如果业务全站都未做过滤,存在十几个或者几十个注入等漏洞,ASRC会做一定的特殊处理,仅确认前三个,不提倡刷洞;
8、同一功能模块下多个注入点或者多个XSS、CSRF、越权等算一个漏洞;
9、测试过程中发现问题,请联系观行处理;
10、请按照漏洞标准正确勾选等级,勿随意勾选严重漏洞等级;
11、本次活动只接收符合以上标准的漏洞;
12、禁止使用大型自动化扫描工具,避免对用户的生产系统造成意外破坏,尽量手测;请勿进行可能影响服务稳定的测试,如DoS等;
13、禁止利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,同时阿里巴巴集团保留采取进一步法律行动的权利。

公众号|阿里安全响应中心

Twitter|AsrcSecurity

和阿里巴巴一起,为数亿用户的安全保驾护航


文章来源: https://mp.weixin.qq.com/s?__biz=MzIxMjEwNTc4NA==&mid=2652994596&idx=1&sn=85352e1efaebebb8bad1d88b90571bd0&chksm=8c9ef373bbe97a6589095cfbe854549b6eac6abd268e9f6fe988632db9eeafd53b3e73749a64&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh