以梦为马 莫负韶华—404年终总结女娲计划篇 – 作者:知道创宇404实验室

相传远古时代,天柱倾倒,天塌地陷,百姓深受猛禽恶兽残害。为拯救百姓于水深火热之中,女娲炼彩石、斩鳖足、修补苍天、重立四极天柱。故天地得以平整,人类得以安居。此后,世人便将女娲奉为补天救世的英雌和开世造物的“大地之母”!

在网络安全世界中,安全漏洞就如同猛禽恶兽,威胁着个人、集体乃至国家的利益。在此背景下,“女娲计划”于2019年11月应运而生!

作为国内第一个对标国外著名漏洞平台的漏洞收取平台,“女娲计划”脱离Seebug独立运营!

“女娲计划”是针对超高价值的0day漏洞及利用技术研究奖励计划,对包括主流PC及移动操作系统、流行服务端或客户端软件应用、网络设备、虚拟系统逃逸等在内的0day安全漏洞及相关利用技术研究项目提供丰厚的奖金,且最高单个漏洞奖励可达¥20,000,000!

截至2021年1月,“女娲计划”的收录范围已覆盖了271种产品和厂商;截至今日,”女娲计划”已发出的漏洞奖金累计近千万~

目前,“女娲计划”已更新2.0版本,添加了大量的Web应用及厂商,在之前的基础上达到了优化升级,为大家提供更好的参与体验~

项目地址:https://nvwa.org/

女娲计划更新收录范围

今天,女娲计划再次更新了收录范围,添加了92个常见的厂商以及产品,快来看看你有没有0day吧~~

target type topprice
ActiveMQ RCE 50,000
anymacro安宁邮箱 RCE /AUL 500,000
Apache Shiro RCE 100,000
Apache Spark RCE 20,000
Apache Struts2 RCE 500,000
Apereo CAS RCE /AUL 100,000
Atlassian Jira RCE 300,000
Cacti RCE 20,000
Citrix RCE 350,000
CISCO SSL VPN RCE /AUL 500,000
CISCO firewall RCE 500,000
Confluence RCE /AUL 300,000
Coremail RCE /AUL 500,000
Dedecms RCE 50,000
Discuz RCE 50,000
easysite RCE 30,000
ECShop RCE 20,000
EmpireCMS RCE 20,000
F5 BIG-IP RCE 500,000
Fastjson RCE 500,000
Fortinet(飞塔) Firewall RCE 50,000
Gitea RCE 50,000
Gitlab RCE 50,000
Hadoop RCE 50,000
Harbor RCE 20,000
Jboss RCE 500,000
Jenkins RCE 50,000
jetty RCE 300,000
kxmail RCE /AUL 50,000
JFinal RCE 20,000
Laravel RCE 20,000
MetInfo RCE 10,000
Microsoft SharePoint RCE 200,000
ModSecurity RCE 20,000
Nexus RCE 20,000
outlook RCE /AUL 1,500,000
Phpcms RCE 50,000
Phpmyadmin RCE 100,000
Pulse Secure VPN RCE /AUL 500,000
redmine RCE 150,000
resin RCE 100,000
richmail(thinkmail) RCE /AUL 100,000
SaltStack RCE 20,000
SiteServer RCE 20,000
Spring Boot RCE 500,000
Spring Security Oauth RCE 50,000
Thinkphp RCE 500,000
turbomail RCE /AUL 20,000
VMware vCenter RCE 100,000
Weblogic RCE 350,000
Webmin RCE 50,000
websphere RCE 300,000
winmail RCE /AUL 350,000
XAMPP RCE 20,000
Zabbix RCE 500,000
Zimbra RCE /AUL 150,000
时代亿信邮箱 RCE /AUL 200,000
微擎 RCE 10,000
禅知 RCE 20,000
宝塔 RCE 20,000
禅道/zentao RCE 50,000
致远oa RCE /AUL 50,000
用友 RCE /AUL 50,000
通达oa RCE /AUL 20,000
帕拉迪堡垒机 RCE /AUL 50,000
齐治堡垒机 RCE /AUL 100,000
大汉cms RCE 20,000
泛微 RCE /AUL 50,000
金蝶 RCE 50,000
万户ezoffice RCE 20,000
拓尔思 TRSWAS RCE 20,000
亿邮 RCE /AUL 50,000
税友 RCE 50,000
jeecms RCE 20,000
JeeSite RCE 10,000
jackson RCE 500,000
蓝凌oa RCE /AUL 50,000
express RCE 50,000
ADC RCE 20,000
TPlink RCE 50,000
dlink RCE 50,000
锐捷 RCE 50,000
爱快流控路由 RCE 50,000
HanSight Enterprise RCE 50,000
日志易 RCE 50,000
堡垒机 RCE /AUL 50,000
jumpserver RCE /AUL 50,000
phpStudy RCE 20,000
TeamViewer RCE 50,000
向日葵 RCE 50,000
FusionAccess RCE 50,000
常用安防类产品(防火墙、VPN、IDS、IPS、主机安全、终端安全等) RCE 50,000

ps: ALL:RCE + LPE;RCE(Remote Code Execution):远程代码执行;LPE(Local Privilege Escalation):本地权限提升;SBX(Sandbox Escape Bypass):沙盒逃逸绕过;VME(Virtual Machine Escape):虚拟机逃逸;FCWP(Full Chain (Zero-Click) with Persistence):完整的利用链;AUL:任意用户登录

常见问题

1.邮箱 请使用您的常用邮箱,在漏洞确认期间,我们会通过邮件和您联系。

2.漏洞接收范围? 我们重点主要关注”女娲计划”给出的目标范围内的相关0day漏洞,目标范围相关的漏洞收取会定期更新,请随时关注目标列表。 您的漏洞在我们给出的目标范围之外,如果漏洞影响大并且严重,也可能成为我们的接收目标,可直接提交,我们评估后联系回复您。

3.我能得到多少漏洞奖金? 在您提交漏洞简介时会一并提交漏洞自评价格,我们会根据您提交的漏洞信息评估您的漏洞价值并和您联系议价。只有在议价得到双方认可之后,流程才会进入到下一步。 在接收到漏洞样本详情之后,如果我们发现与您之前的描述不符,我们会根据您提及的漏洞细节进行二次议价。

4.我需要提交什么样的漏洞简介? 在流程开始阶段,请参考”漏洞提交”表单信息提交,到确定漏洞议价完成后需要提交漏洞详情说明及完整可靠的exploit。

5.在提交漏洞之后,我什么时候能拿到奖金? 在提交完整漏洞说明及exploit后,经过平台确认完整可靠后我们将根据最终议价结果发放奖金。奖金将在3个月内完成分期支付。 最终确定漏洞后1周内支付完成50%奖金,其余50%奖金作为保证金最终在漏洞确认后3个月内完成100%支付。 漏洞提交者应该为漏洞相关信息及程序保密,如果是由于漏洞提交者原因出现泄密情况我们会根据对应具体情况进行扣除或者取消奖励。

6.”要求”内的交互相关要求(如”零交互”)是什么意思? 交互相关要求是指攻击场景之外的其他任何交互动作,比如打开office打开文档或者浏览器打开链接、移动im等应用打开链接都算是”攻击场景”,不属于”交互要求”范围内。

7.在沟通过程中,如果需要发送我认为敏感的信息怎么办? 在沟通过程中,如果你担心你发送的信息涉及到敏感信息,请使用我们的公开PGP密钥加密。

8.如果我有问题想要咨询怎么办? 如果有任何问题,请发送邮件到 root#nvwa.org。值得注意的是,这个邮箱不会沟通任何于实际漏洞相关的信息,当你提交表单之后,请于联系你的邮箱进行进一步沟通。

抽奖活动

奖品为:1个国行Switch+10个定制机械键盘~

详情请转至微信公众号@Seebug漏洞平台推文《以梦为马 莫负韶华—404年终总结女娲计划篇》查看!!!

来源:freebuf.com 2021-01-22 18:24:51 by: 知道创宇404实验室

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论