第1432期 某厂商Web及APP安全测试

第1432期 某厂商Web及APP安全测试

预计2020年06月29日20点启动

赏金等级

加入

漏洞盒子V3.1主要更新

V3.1版本中,我们对漏洞提交流程,漏洞详情显示,漏洞评级以及短信通知功能等做了优化。

1、提交漏洞优化

在提交项目漏洞的时候,除了之前的漏洞描述、等级、类型等之外,白帽子还必须填写漏洞url/位置、影响参数、漏洞原始请求包、漏洞Payload、复现步骤,然后在漏洞详情页面会一一显示出来,这样的做法一是为了让白帽子在提交漏洞的过程中,梳理自己的思路做为经验沉淀,二是为了让厂商更容易去辨识漏洞、验证漏洞是否存在。如下图:

提交项目漏洞新增参数如下:

漏洞url/位置

例子:https://www.vulbox.com/user/submit-1000

影响参数

输入漏洞影响参数,如SQL注入点在https://www.vulbox.com/fuck.php?id=1,影响参数则为id

漏洞原始请求包

例子:

HTTP/1.1
Host: secure.target.com 
User-Agent: Mozilla/5.0 (FakeOS 1.1; x64; rv:122.1) Gecko/20100101 Firefox/22.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8       
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflatenDNT: 1
Referer:  
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 216

漏洞Payload

输入漏洞Payload,例如:'><script>alert('payload poc for xss.')</script>

补充说明(非必填)

补充漏洞的详细信息,此项填写详细可加分。

复现步骤

整个漏洞实现的过程,方便厂商验证漏洞是否存在。

2、漏洞详情页面

白帽子在提交漏洞之后,厂商可在漏洞详情页面查看到提交的参数,如下图:

3、短信通知

在漏洞盒子运行的过程中,我们收到了不少优质的建议,短信通知就是其中一条,目前短信通知覆盖“项目开始、项目更新、项目暂停、项目结束”,以上几种项目状态我们都会主动短信通知到绑定手机的白帽子用户。

4、漏洞评级早知道

白帽子可在厂商关闭漏洞前,提前知晓漏洞的初始评级。

嗯,漏洞盒子功能的完善依然未止,请期待我们的下一次改进。

商务咨询:400-156-9866
商务邮箱:mkt@vulbox.com

电话服务(周一至周五 早9:00–18:00)