公告编号:作者:穿山甲发布日期:2022/06/07
2022年2月18日起,YZSRC恢复接收Apache Log4j2相关的远程代码执行漏洞,请各位白帽子在验证和测试过程中请严格准遵以下规定:
1、只允许测试验证漏洞,利用漏洞尝试获取主机名和用户名, 不允许执行其他任何代码或命令
2、禁止下载和读取服务器上任何源代码文件和敏感文件
3、漏洞描述中请至少包括以下信息:数据提交的入口、POC内容、DNS Log验证截图,以便于运营人员进行漏洞复现
注:由于漏洞调用链关系,多处不同入口的漏洞点可能是同一个应用导致的,这种情况会识别为相同的漏洞源,只会给第一个提交者奖励,后续提交者为重复。
