【众测活动】繁花五月,浅夏胜春 | 奖金翻倍等你来战!

作者:sangfor公布时间:2024/05/13

繁花五月,浅夏胜春。五月的初夏,生命走入肆意生长的阶段,是最富有诗意的时节。在这个美好的时节,2024年五月众测活动奔你而来,欢迎各位白帽子踊跃参与!活动详情如下:


一、众测时间


2024年5月13日0:00-2024年5月26日24:00


二、参与人员


深信服SRC平台所有已注册白帽子。


三、众测产品范围


【资产定级】

(1)A类资产:

 aTrust、SSL VPN、EDR

(2)B类资产:

 AF、AD、AC、VDI

【产品版本】

(1)aTrust:2.3.10 + SP_aTrust_IMPROVE_03

(2)SSL VPN:M7.6.8 R2 + SP_SSL_IMPROVE_COM(20240430)

(3)EDR:3.7.12.4983R3 + SP_EDR_JG_03_3712R3_4983-4995

(4)AF:

        老架构:AF8.0.48.895 + JG26

        新架构:AF8.0.85.312 + SP_AF_OS_SpreeR_03_8085 + JG26

(5)AD:7.0.26R2+JG13+JG14

(6)AC:13.0.102版本+JG37包

(7)VDI: 5.9.1版本+JG16包


 注:

(1)补丁包版本可于/app/appversion查看。

(2)上述资产版本号不代表资产的最新版本,深信服社区同理。


四、参与流程


1、在众测活动开始之前,请登录深信服安全应急响应中心平台(以下简称深信服SRC平台)进行账号注册。注册链接为:

https://security.sangfor.com.cn/user.php?m=&c=reg&a=index

2、众测活动期间,参与人员对指定的产品进行渗透测试。

3、请详细记录渗透测试或安全审计的每一个步骤和过程,并将漏洞复现的过程和详细信息提交至深信服安全应急响应中心(必须包括清晰的复现截图以及具体的POC/EXP)。提交的漏洞报告标题请附本次活动的指定标签【繁花五月】,以便我们快速识别和处理。


五、奖励规则


活动奖金评定细则见以下链接:

https://security.sangfor.com.cn/index.php?m=&c=blog&a=view&id=16

此次众测活动,发现高危和严重等级的漏洞(符合收录标准且由官方确认后)则可以获得“翻倍奖励”


六、漏洞收录规则


1、【提交的漏洞属于“三、众测产品范围”列举的范围,符合官方收录标准且评定为高危及以上级别,可以获得翻倍奖金】漏洞为中危、低危级别则不进行翻倍奖励,按照正常流程处理。

2、对于内部已知的漏洞,不进行翻倍奖励,直接降级处理,按照正常流程处理(官方会根据提交的漏洞报告信息做出评判)。

3、对于已修复漏洞或者其他外部人员已提交的漏洞(即撞洞),进行驳回处理。

4、具体收录规则如下: 


【aTrust、SSL VPN】

(1)服务端未授权RCE

(2)完整认证逻辑绕过:管理控制台(默认4430端口) 、用户接入(默认443端口)

(3)服务端未授权添加/修改超级管理员账号,导出备份配置,任意创建用户账号,修改用户认证密码/手机号码

(4)未授权通过服务端RCE客户端(非中间人、钓鱼等)

(5)通过客户端RCE服务端(用户接入)


【EDR】

(1)服务端未授权RCE

(2)完整认证逻辑绕过:管理控制台(默认443端口)

(3)服务端未授权敏感功能调用(如添加管理员账号)

(4)未授权通过服务端RCE客户端

(5)通过客户端RCE服务端


【AF、AD】

(1)未授权RCE

(2)控制台登录认证绕过(默认443端口)

(3)未授权添加/修改控制台管理员账号密码


【AC】

(1)服务端未授权RCE

(2)控制台管理员任意密码重置

(3)控制台登录认证绕过(默认443端口)

(4)未授权添加/修改控制台管理员账号密码

(5)通过准入客户端RCE服务端(有无账号均可,准入支持自注册)


【VDI】

(1)服务端未授权RCE               

(2)绕过认证控制台(默认4430) 

(3)绕过认证用户登录(默认443)         

(4)未授权添加管理员和修改管理员密码

(5)未授权添加用户和修改用户密码       

(6)服务器未授权SQL注入                

(7)未授权通过服务端RCE客户端         

(8)通过客户端RCE服务端(无用户账号)  


 注:


(1)内部已知:深信服内部人员发现但未修复或修复未闭环的漏洞

 例如:张三提交“SIP越权修改普通用户密码”漏洞。该漏洞被认定为内部已知,漏洞资产依然为B类。若原评级为高,降级后评级为中,不再进行奖励翻倍。

(2)内部已知凭证:提供内部SDL平台漏洞记录、漏洞点截图等信息。

(3)已修复凭证:已发布或更新的补丁号、版本号等。

(4)撞洞凭证:优先提供CNVD\CNNVD或深信服SRC编号,若无则审核人员将联系漏洞提交者说明情况。

(5)活动结束:活动时间截止或奖金池耗尽,本次活动奖金池为100万。


七、靶标信息说明


【aTrust 2.3.10】

 管理控制台:https://60.12.5.132:4433/portal/index.html#/login  

 用户登录侧:https://60.12.5.132/portal/#/info_other_login  


【SSL VPN 7.6.8R2】

 用户登录侧:https://60.12.5.130/portal/#!/login 

 管理控制台:

 https://60.12.5.130:4430/cgi-bin/login.cgi?requestname=2&cmd=0


【EDR】

 管理控制台:https://60.12.5.131:4443/ui/login.php

 客户端下载:https://60.12.5.131:4430/ui/web_install.php


【AF 8.0.85】

 管理控制台: https://60.12.5.134:4431/


【AC 13.0.102】

 管理控制台:

 https://60.12.5.134/index.php#/system/app_identify_rule

 准入客户端下载:http://60.12.5.134:817


【AD 7.0.26R2】

 https://60.12.5.130:10443/index#mod=/mod_object/rule/index


【VDI 5.9.1】

 控制台侧:https://60.12.5.133:4430/ 

 用户登录侧:https://60.12.5.133  


 注:


(1)本次众测靶标环境暂不提供测试账户。

(2)禁止进行长时间影响系统性能暴力发包的扫描测试,尽量手测;禁止进行可能影响服务稳定的测试,如DoS等。

(3)请在测试验证漏洞存在后及时删除可能影响系统的Payload。

(4)请勿扰乱其他测试选手的测试,请勿破坏主机环境。


八、声明


1、本次活动遵循深信服安全应急响应中心发布的最新版《漏洞评分和奖励标准》进行漏洞评定。您可以通过以下链接查阅该标准的详细信息:

https://security.sangfor.com.cn/index.php?m=&c=blog&a=view&id=16

2、深信服SRC将对所有提交的漏洞记录在案,并在活动结束后统一安排奖励发放。

3、通常情况下,提交的漏洞报告将在三个工作日内完成审核,除非遇到特殊情况导致漏洞无法确认。在无法确认漏洞的情况下(例如,由于条件不明确而无法复现),我们将需要向漏洞提交者进行咨询,运营会通过报告留言告知。提交者应通过报告留言、官方邮箱或微信及时与我们联系。若在活动截止时,我们仍无法与提交者取得联系,则所提交的无法确认的漏洞报告将进行忽略处理。

4、本次活动严禁任何形式的代交行为。一旦发现有代交漏洞的情况,涉事参与人员将被立即取消本次活动的参与资格,并撤销其本次活动所获得的奖励。

5、活动截止后,深信服SRC将在完成统计和验收流程后,通过深信服SRC平台及深信服安全应急响应中心微信公众号公布最终结果。