近期在LSRC马拉松活动中,存在白帽子【chopper】测试中上传webshell,该行为严重违反了LSRC的测试规则,故发布该公告给以严重警告。念其为初犯,且未造成影响。故本次不设置为黑名单,仅以通报警告并扣信誉值处理,之后该行为将以公告规则处理。
附上禁止上传WebShell内容:
为了规范大家漏洞测试的行为,避免进一步安全影响,禁止上传WebShell,可以使用上传的无恶意的执行脚本来证明,如简单的hello world, php可以上传PHPINFO,漏洞风险还是按照正常的严重风险审核。如发现存在上传WebShell,一经查实,会冻结上传者在LSRC的已发放且未提取的奖金,并设置其为黑名单,禁止再向Lenovo SRC提交漏洞。
附上漏洞盒子项目测试红线,测试时禁止过于深入利用:https://www.vulbox.com/faq/?id=252