自2022年3月1日起，58SRC恢复对 log4j2漏洞进行收录。

收录要求如下：

测试范围：

核心业务【3】

• *.58.com (需为招聘、房产、本地服务 、大学核心业务)
• *.ganji.com

• *.anjuke.com

一般业务【2】

• *.58.com(非核心业务，若非58资产，跟58为合作关系但是用了*.58.com的域名不收录）
• *.58che.com

• *.jxedt.com
• *.chinahr.com

测试漏洞要求：

1. 提交漏洞时附上IP信息，账号信息，并且标题必须加上【log4j2】，否则忽略处理
2. 漏洞收取如下两种情况

1. 不可执行命令，但可证明漏洞存在（必须可稳定触发，且能证明是由log4j漏洞导致的）
2. 可执行命令，通过执行hostname/uname获取主机名/内核版本信息即可

请勿执行反弹shell等未授权命令，一经发现，将不予计分，情节严重将按相关规定处理

如有特殊情况，可评论区联系审核人员说明，或在漏洞报告中提出。

评分标准

a情况漏洞权重：10，影响范围：1，利用难度：1，业务权重：1。

b情况漏洞权重：10，影响范围：16，利用难度：4，业务权重按照实际业务权重给分。

该漏洞同时参与额外奖励规则。