通用型漏洞收录｜雷神众测星网计划一期全面启动

雷神众测雷神众测 2023-07-04 17:14

2023年夏日，安恒信息｜雷神众测全面启动星网计划！

星网计划是雷神众测
定向通用型漏洞收录计划。我们会不定期发布不同的通用型0day漏洞收录方向，主要针对可影响金融行业、通信行业、能源行业、教育行业、医疗行业、云厂商、云原生等重点行业关基相关系统及其供应链系统通用型安全漏洞及相关利用技术研究项目提供丰厚的奖金。

2023年“第一期星网计划”我们将定向收录「杭州市供应链」通用型安全漏洞。

*注册地在杭州的供应链企业旗下网络产品安全漏洞。

提交模版：

漏洞标题：星网1期杭州市供应链安全-xxxx

漏洞指纹：

公网影响数量：

利用方式：远程/本地/物理

影响版本：影响版本号（必填字段）

用户交互：不需要登录/需登录/需登录（开放注册）

权限要求：普通用户/功能管理员/系统管理员

漏洞证明：
1. SQL注入漏洞：请补充注入利用证明，包括数据库的 user()或 version()或 database()的输出结果，建议提供截图。

我们关注的漏洞类型，包括：SQL注入、XXE、命令执行、文件包含，任意文件上传、SSRF、获取管理员权限、重点敏感信息泄露等。

收录说明：
1. 仅收录可利用的Exploit，不收录”存在可能性”的漏洞;

仅收录通用漏洞，不收录事件型漏洞;
仅收录无权限要求的前台漏洞，重大系统后台漏洞酌情收录。
由fastjson，log4j等通用组件的已知漏洞所形成的漏洞不在本奖励计划收录范围；
只收录影响产品最新版的漏洞，该版本须为厂商长期维护的主流版本；
官方无开源代码并且无测试Demo的漏洞，需要提供至少10个互联网以实例证明危害；
同一个漏洞源产生的多个漏洞计漏洞数量为一。例如：同一功能模块下的不同接口，同一文件的不同参数、同一参数出现在不同文件、同一文件在不同目录、同一漏洞的不同利用方式、不同版本的同一漏洞、同一函数导致漏洞等；
可以通过修复一个点使得后续利用均不可行的情况，后续漏洞提交均视为重复漏洞；
在雷神众测平台提交的漏洞，被提交者在互联网上被公开或传播不给予奖励；
若第三方监管单位反馈漏洞重复，经排查确认后，雷神众测平台会按进行漏洞驳回处理；
报告网上已公开的漏洞不给予奖励；
同一漏洞重复提交至其他第三方漏洞平台，雷神众测平台有权不给予奖励；
在漏洞处理的任何阶段发现漏洞重复或被公开，雷神众测平台都有权驳回漏洞并取消奖励；对于恶意提交重复漏洞骗取奖励的行为，会给予警告乃至封号处理。

漏洞奖金发放标准：

高危漏洞	中危漏洞	低危漏洞
1000-10000元	500-5000元	100-1000元

我们收到漏洞后会根据漏洞风险评价（DREAD）的以下五方面评定漏洞等级：潜在损失、重现性、可利用性、受影响用户、可发现性。

定级完成后我们会对漏洞进行验证，确认漏洞存在后30天内进行漏洞奖金发放；漏洞若不存在或无法复现会进行驳回。

提交地址：
https://www.bountyteam.com/

（
雷神众测星网计划1期-「杭州市供应链」通用型安全漏洞收录，或
点击阅读原文
跳转提交。）

近期文章