vlambda博客
学习文章列表

LLSRC恢复接收 Log4j2 远程代码执行漏洞的通知

Apache Log4j2远程代码执行漏洞内部首轮修复已经完成,鉴于此漏洞影响链路较长,范围较广难免存在遗漏,为了更好的保证平台安全,即日起LLSRC恢复接收Apache Log4j2相关的远程代码执行漏洞。


一、业务漏洞收取范围


*.huolala.cn

*.huolala.work


二、 注意事项


1、测试前请联系运营人员进行报备,测试IP、域名均以白帽子报备为准,未报备域名/IP测试均视为未授权攻击行为,视为违规;

2、为方便审核人员定位与排查,漏洞证明时请提供漏洞入口的HTTP请求包、通过dnslog获得的主机名信息;

3、只允许测试验证漏洞,仅允许利用漏洞尝试获取主机名和版本信息,不允许执行任何其他代码或命令,不允许进一步攻击/上载任何文件,禁止反弹shell、内网渗透,不允许利用漏洞长期驻留;

4、由于漏洞调用链可能存在多条,多处不同入口的漏洞利用最终影响同一个主机/应用/集群,识别为相同漏洞源(即业务修复一次可满足),一般只给第一个提交者奖励;

5、违规行为一经溯源发现,取消活动期间全部奖励;

6、提前对外公布细节、虚假漏洞、已知重复漏洞等行为不予奖励;

7、禁止高频扫描漏洞。


三、 提交漏洞格式


请按“【Log4j2】+漏洞名”的格式提交报告


四、 漏洞定级测试和提交准则


漏洞定级测试和提交准则请参照《货拉拉安全应急响应中心漏洞处理和评分标准V2.1》《货拉拉安全应急响应中心(LLSRC)测试规范》。


货拉拉安全应急响应中心

邮箱 | [email protected]

官网 | https://llsrc.huolala.cn