正文

重磅活动来袭|最高四倍奖励!

admin
admin V管理员 /0 评论 /67 阅读
0310
此篇文章发布距今已超过39天,您需要注意文章的内容或图片是否可用!

 活动时间及范围

01

【活动时间】

2025年3月10日-2025年3月15日

02

【活动范围】

快手全域

(具体域名/资产清单见)

03

【漏洞收取类型】

可突破限制进入内网的相关漏洞,包括但不限于以下漏洞类型:

- 远程命令执行漏洞(RCE)

- 可进行 POST请求且可回显的 SSRF 漏洞

- 可执行 SQL代码获得内网信息的 SQL注入 漏洞

- 内网敏感服务未授权访问

关于SSRF漏洞测试说明:

(test.domain说明以及注意事项等详见:

https://security.kuaishou.com/notice/detail?30)

1. 有回显SSRF:

直接请求http://src.ssrf.corp.kuaishou.com/ssrf,若返回“Security Check Passed ”,说明存在有回显SSRF漏洞。

2. 无回显SSRF:

请求http://src.ssrf.corp.kuaishou.com?host=test.domain,若test.domain收到域名解析请求,说明存在无回显SSRF漏洞。

 活动奖励

01

特别翻倍奖励

活动期间提交的有效报告将获得:

严重/高危漏洞:3倍翻倍奖励

中危漏洞:2倍翻倍奖励

02

任意漏洞奖励

活动期间,只要提交符合活动收取类型的有效报告,即可获得:

快手小红帽保温杯*1

03

K星白帽奖励

K星奖励(https://security.kuaishou.com/notice/detail?27)参与本次活动,最高可得四倍奖励

 注意事项

1. 报告提交需提供完整攻击链证明,必须包含以下内容:

- 外网请求payload

- 获取到的内网资产关键信息证明

- 漏洞验证视频;

2. 禁止进行物理测试、社会工程学测试或邮件钓鱼等任何其他非技术漏洞测试;

3. 禁止用扫描器或其他自动化工具,只允许手工测试;

4. 若获取到网站权限,禁止修改代码文件或植入后门等操作,一经发现,将严肃处理;

5. 测试命令执行漏洞时,证明漏洞即可,禁止植入文件或者对内网其他主机进行扫描测试;

6. 符合活动要求的漏洞,将给予相应活动奖励,本活动与其他同期活动奖励不叠加。

 活动声明

1. 如有违反快手SRC平台测试规则、规范的情况,公司保留法律追责的权利。

2. 快手安全应急响应中心针对本次活动,在法律允许的范围内有权进行解释。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
https://ZhouSa.com