vlambda博客
学习文章列表

Apache Log4j2远程代码执行漏洞内部首轮修复已经完成，鉴于此漏洞影响链路较长，范围较广难免存在遗漏，为了更好的保证平台安全，即日起LLSRC恢复接收Apache Log4j2相关的远程代码执行漏洞。

*.huolala.cn

*.huolala.work

1、测试前请联系运营人员进行报备，测试IP、域名均以白帽子报备为准，未报备域名/IP测试均视为未授权攻击行为，视为违规；

2、为方便审核人员定位与排查，漏洞证明时请提供漏洞入口的HTTP请求包、通过dnslog获得的主机名信息；

3、只允许测试验证漏洞，仅允许利用漏洞尝试获取主机名和版本信息，不允许执行任何其他代码或命令，不允许进一步攻击/上载任何文件，禁止反弹shell、内网渗透，不允许利用漏洞长期驻留；

4、由于漏洞调用链可能存在多条，多处不同入口的漏洞利用最终影响同一个主机/应用/集群，识别为相同漏洞源（即业务修复一次可满足），一般只给第一个提交者奖励；

5、违规行为一经溯源发现，取消活动期间全部奖励；

6、提前对外公布细节、虚假漏洞、已知重复漏洞等行为不予奖励；

7、禁止高频扫描漏洞。

请按“【Log4j2】+漏洞名”的格式提交报告

漏洞定级测试和提交准则请参照《货拉拉安全应急响应中心漏洞处理和评分标准V2.1》、《货拉拉安全应急响应中心（LLSRC）测试规范》。

货拉拉安全应急响应中心