TJSRC 最新业务资产列表 — 定期更新
https://securitytcjf.com/wp/?p=397
https://securitytcjf.com/wp/?p=325
请仔细阅读我们的评分奖励标准!
不在奖励计划范围内的漏洞
奖励计划的目标是发现和识别对同程数科业务系统以及用户数据造成影响的漏洞,但以下情况不在奖励计划范围内:
l任何非敏感信息泄露(如IP地址,服务名称以及一些无用的错误信息,如栈跟踪信息);
l无实际危害证明的扫描器结果;
l其他无效的“漏洞”,包括不限于:
1)不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。
2)无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。
3)不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。
4)遍历手机号发短信,遍历用户名(邮箱)判断是否已注册、邮箱轰炸、验证码爆破、无额外验证导致可爆破(非重点核心功能)、无任何意义或影响的越权。
更多详情请查看:TJSRC漏洞处理和评分标准
捐款成功,感谢您的无私奉献