【通知】58SRC对log4j2漏洞恢复收录
58安全应急响应中心 最后更新于 2022-02-28 19:50:48

自2022年3月1日起,58SRC恢复对 log4j2漏洞进行收录。

收录要求如下:

测试范围:

核心业务【3】

  • *.58.com (需为招聘、房产、本地服务 、大学核心业务)
  • *.ganji.com
  • *.anjuke.com

一般业务【2】

  • *.58.com(非核心业务,若非58资产,跟58为合作关系但是用了*.58.com的域名不收录)
  • *.58che.com
  • *.jxedt.com
  • *.chinahr.com

 

测试漏洞要求:

  1. 提交漏洞时附上IP信息,账号信息,并且标题必须加上【log4j2】,否则忽略处理
  2. 漏洞收取如下两种情况
    1. 不可执行命令,但可证明漏洞存在(必须可稳定触发,且能证明是由log4j漏洞导致的)
    2. 可执行命令,通过执行hostname/uname获取主机名/内核版本信息即可

 

请勿执行反弹shell等未授权命令,一经发现,将不予计分,情节严重将按相关规定处理

如有特殊情况,可评论区联系审核人员说明,或在漏洞报告中提出。

 

评分标准

a情况漏洞权重:10,影响范围:1,利用难度:1,业务权重:1。

b情况漏洞权重:10,影响范围:16,利用难度:4,业务权重按照实际业务权重给分。

该漏洞同时参与额外奖励规则。