一
活动时间及范围
●
01
●
【活动时间】
2025年3月10日-2025年3月15日
●
02
●
【活动范围】
快手全域
(具体域名/资产清单见)
●
03
●
【漏洞收取类型】
可突破限制进入内网的相关漏洞,包括但不限于以下漏洞类型:
- 远程命令执行漏洞(RCE)
- 可进行 POST请求且可回显的 SSRF 漏洞
- 可执行 SQL代码获得内网信息的 SQL注入 漏洞
- 内网敏感服务未授权访问
关于SSRF漏洞测试说明:
(test.domain说明以及注意事项等详见:
https://security.kuaishou.com/notice/detail?30)
1. 有回显SSRF:
直接请求http://src.ssrf.corp.kuaishou.com/ssrf,若返回“Security Check Passed ”,说明存在有回显SSRF漏洞。
2. 无回显SSRF:
请求http://src.ssrf.corp.kuaishou.com?host=test.domain,若test.domain收到域名解析请求,说明存在无回显SSRF漏洞。
二
活动奖励
01
特别翻倍奖励
活动期间提交的有效报告将获得:
严重/高危漏洞:3倍翻倍奖励
中危漏洞:2倍翻倍奖励
02
任意漏洞奖励
活动期间,只要提交符合活动收取类型的有效报告,即可获得:
快手小红帽保温杯*1
03
K星白帽奖励
K星奖励(https://security.kuaishou.com/notice/detail?27)参与本次活动,最高可得四倍奖励!
三
注意事项
1. 报告提交需提供完整攻击链证明,必须包含以下内容:
- 外网请求payload
- 获取到的内网资产关键信息证明
- 漏洞验证视频;
2. 禁止进行物理测试、社会工程学测试或邮件钓鱼等任何其他非技术漏洞测试;
3. 禁止用扫描器或其他自动化工具,只允许手工测试;
4. 若获取到网站权限,禁止修改代码文件或植入后门等操作,一经发现,将严肃处理;
5. 测试命令执行漏洞时,证明漏洞即可,禁止植入文件或者对内网其他主机进行扫描测试;
6. 符合活动要求的漏洞,将给予相应活动奖励,本活动与其他同期活动奖励不叠加。
四
活动声明
1. 如有违反快手SRC平台测试规则、规范的情况,公司保留法律追责的权利。
2. 快手安全应急响应中心针对本次活动,在法律允许的范围内有权进行解释。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...