也可以通过文末二维码扫码进群。等待群内发放邀请码。
关于 教育漏洞报告平台
教育漏洞报告平台是一个面向全教育行业的漏洞报告平台。平台旨在汇聚多方力量,帮助提升教育系统各级各类学校、单位的信息系统和网站安全性,为推进教育信息化建设保驾护航。
漏洞报告说明
一旦完成注册,我们认为您已经仔细阅读并同意如下的规则,如果您并不认同如下条款,请不要注册或者提交任何漏洞。
本平台是一个聚焦教育行业的第三方漏洞报告平台,请勿提交不属于教育行业的安全漏洞。
所有的在校学生均可以注册成为本平台的白帽子。
现阶段,白帽子使用邮箱注册平台,并使用邮箱进行登录。
白帽子在挖掘、提交相关漏洞的过程中,必须遵守中华人民共和国相关法律法规以及本平台相关规定。
漏洞标题、简要描述、评分、评论等内容,所有注册白帽子均可见。
漏洞详情只有相关单位管理员和漏洞提交者可见。
白帽子提交的漏洞由本平台审核人员进行确认评分。
漏洞被确认以后,白帽子可以获得相应积分(Rank)奖励。
随着Rank的提升,白帽子等级也会随之提升,高级别白帽子将会有更多特权。
在获得Rank的同时,白帽子将获得一定金币。
白帽子可以在礼品中心,利用金币兑换相应的礼品。
漏洞评分标准
漏洞的评分(Rank)范围为0 ~ 10,分为严重(Critical)、高(High)、中(Medium)、低(Low)四个级别。不同等级的漏洞分数范围如下:
等级 | 分值 |
---|---|
严重 | 9~10 |
高 | 7~9 |
中 | 4~7 |
低 | 0~4 |
漏洞等级介绍:
严重
直接获取重要服务器(客户端)权限的漏洞。包括但不限于远程任意命令执行、上传 webshell、可利用远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、可利用浏览器 use after free 漏洞、可利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞;
直接导致严重的信息泄漏漏洞。包括但不限于重要系统中能获取大量信息的SQL注入漏洞;
能直接获取目标单位核心机密的漏洞;
高危
直接获取普通系统权限的漏洞。包括但不限于远程命令执行、代码执行、上传webshell、缓冲区溢出等;
严重的逻辑设计缺陷和流程缺陷。包括但不限于任意账号密码修改、重要业务配置修改、泄露;
可直接批量盗取用户身份权限的漏洞。包括但不限于普通系统的SQL注入、用户订单遍历;
严重的权限绕过类漏洞。包括但不限于绕过认证直接访问管理后台、cookie欺骗。
运维相关的未授权访问漏洞。包括但不限于后台管理员弱口令、服务未授权访问。
中危
需要在一定条件限制下,能获取服务器权限、网站权限与核心数据库数据的操作。包括但不限于交互性代码执行、一定条件下的注入、特定系统版本下的getshell等;
任意文件操作漏洞。包括但不限于任意文件写、删除、下载,敏感文件读取等操作;
水平权限绕过。包括但不限于绕过限制修改用户资料、执行用户操作。
低危
能够获取一些数据,但不属于核心数据的操作;
在条件严苛的环境下能够获取核心数据或者控制核心业务的操作;
需要用户交互才可以触发的漏洞。包括但不限于XSS漏洞、CSRF漏洞、点击劫持;
存在以下情况我们将酌情将漏洞等级降低:
漏洞真实存在,但因为各种问题(如WAF),白帽子无法说明利用方法的
漏洞提交前,相关单位已经知晓,但暂未修复的已知漏洞
漏洞触发需要一定条件的,具有一定的偶然性
同一单位多处相似漏洞
恶意夸大漏洞危害的
非同一单位但利用方式相似的
已公开利用方式的通用型安全漏洞
如下漏洞将被忽略:
非(不确定)教育相关行业单位
虚假漏洞
本平台上已有其他白帽子提交过的漏洞
互联网上已经被公开的漏洞
提交到本平台后又提交到其他平台的漏洞
没有链接、截图、利用方法等漏洞详情不详细的漏洞
需要登录管理员后台才能触发的漏洞
需要中间人攻击的漏洞
Self-XSS
无敏感操作的CSRF漏洞
钓鱼漏洞
无敏感信息的 JSON Hijacking
扫描器取得结果,但白帽子无法提供利用方法的漏洞
无意义的源码泄露、内网IP、域名泄露
拒绝服务漏洞
备注:此标准仅供参考,具体评级评分以平台漏洞审核人员根据实际影响判定为准。
奖励范围
现阶段,教育漏洞报告平台接收如下类别单位漏洞:
教育部、人力资源和社会保障部
各省、自治区教育厅、直辖市教委、各级教育局
各省、自治区人社厅、直辖市人社局、各级人社局
各级教育部门以及人社部门主管的学校、技校
教育相关软件
在上述范围之外的漏洞,暂无奖励。
奖励发放规则
白帽子提交漏洞,可获取一定金币,在礼品中心可以利用金币兑换相关礼品。
在本平台中,Rank是用户积分,正常情况下不会减少(违反规则被扣除积分的除外)。金币是消耗品,在兑换礼品后会减少。
用户兑换礼品时需要填写个人联系方式(包括联系电话、收货地址等),如果填写的联系方式不准确,将不能及时发货。
用户提交订单后,后台管理员进行审核并发货,订单号、兑换码等信息将会返回在订单状态中,查看订单列表即可查看订单的实时状态。
Rank、金币比例
现阶段,用户获取的金币和Rank相等,其比例为1:1。即获取1 rank的情况下,将同时获取1金币。平台管理人员将根据实际运营情况,不定期调整比例。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...