活动来啦~
这个秋天,参与 ZASRC 漏洞挑战专测活动,给你的小金库补充能量,高危严重漏洞等你来挖!
活动详情
活动时间:
2025年10月15日18时至2025年10月31日24时
活动范围:
众安在线财产保险股份有限公司
众安在线保险经纪有限公司
杭州速保网络技术有限公司
上海暖哇科技有限公司
众安信息技术服务有限公司
重庆众安小额贷款有限公司
众安信息技术服务有限公司上海分公司
众安信科(深圳)有限公司
上海威寻网络技术有限公司
河北雄安众安金服信息技术有限公司
重庆众先安行科技有限公司
*zhongan.com
*zhonganib.com
*zhongan.tech
*zhongan.io
*zaouter.com
*anlink.com
*annchaincloud.net
*xazafinance.com
*zatech.com
*zhongxiananxing.com
*zadrugstore.com
*lianmotech.com
*cyouzai.com
*zaxd.ink
*zhonganxiaodai.com
*zaxdloan.com
*nuanwa.net
*.weixuntech-inc.com
*.weixuntech.com
活动奖励:
凡是符合以上专测活动范围内的有效漏洞(或者有效安全情报),*zhongan.com高危漏洞享受2倍积分奖励,严重漏洞享受3倍积分奖励,其余域名高危严重漏洞均享受2倍积分奖励,中低危漏洞不享受此次专项活动额外奖励!!!
注明:上述域名的漏洞标题都需要带上【2025漏洞挑战专项】,提交的报告一定需要步骤详细且易复现,数据挑战专项期间主要优先处理服务器权限、数据、接口泄露、弱口令、云安全相关的严重高危漏洞以及通用漏洞,低风险漏洞视情况处理和接收。
补充说明:
1、低风险漏洞短信炸弹、邮箱炸弹、svg-xss、pdf-xss、html-xss、需交互式URL跳转和反射xss均不予接收
2、open.zhongan.com以下业务接口不予接收
https://open.zhongan.com/center/**
https://open.zhongan.com/promotion/**
注意事项
当发现入侵类风险后需周知众安,经授权后才能进行横向移动,未经授权禁止植入后门或者对内网其他主机进行测试;
禁止邮件钓鱼社工;
禁止盗用或借用管理账号、内部账号进行测试,测试使用的非众安普通用户账号,需说明账号来源,不明来源的账号视为违规盗用或借用;
禁止用扫描器或其他自动化工具,只允许手工测试;
测试SQL注入类漏洞时,应采取手工注入,且获取的数据量不能超过10组;
禁止网络拒绝服务(DoS 或 DDoS)测试;
严禁利用漏洞下载/保存源代码、用户个人信息等敏感数据。若在不知情情况下下载,应及时告知 ZASRC 工作人员并删除;
测试命令执行漏洞时,证明漏洞即可,禁止植入文件或者对内网其他主机进行扫描测试;
测试验证越权漏洞等逻辑风险时,请自行注册测试账号进行测试。务必控制测试范围,不得危害系统正常数据或影响正常用户使用;
禁止进行物理测试、社会工程学测试或邮件钓鱼等任何其他非技术漏洞测试;
获取网站的权限时,禁止修改代码文件或植入后门等操作;
参与测试的同学,需要遵守保密协定,勿将页面截图、功能模块详情等外传泄露;
须知:
单个系统只收取前三个相同类型的漏洞;
符合活动要求的漏洞,可以享受漏洞奖励翻倍
我们反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害众安系统及用户的利益的攻击行为,我们保留追究法律责任的权力。
违规处理
测试过程中,触犯一般违规行为,平台将进行提醒/警告;
测试过程中,触犯严重违规行为,对涉及的漏洞进行安全币及贡献值清零处理;
在已收到平台关于一般违规行为的三次提醒/警告(含三次)后,测试人员仍执行违规测试操作,对涉及的漏洞进行安全币及贡献值清零处理;
一个季度内,因违规行为,被扣除漏洞奖励两次(含两次),本季度内全部漏洞安全币及贡献值清零,取消当季度排名奖励;
对于情节严重违规行为,ZASRC 保留追究法律责任的权利。
漏洞评级及奖励标准
参考ZASRC官网《众安安全应急响应中心漏洞处理及评分标准V2.8》
特别说明
请严格遵守ZASRC官网《众安安全应急响应中心(ZASRC)用户 服务协议》。
请勿使用扫描器或进行并发过大的测试。
本次活动最终解释权归众安在线财产保险股份有限公司所有。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...