关于开始接收 Log4j2远程代码执行漏洞的通知
致各位亲爱的白帽子:
NSRC收到了大家对log4j漏洞提交的热情,将开始逐步接收Apache Log4j2相关漏洞,当前计划于4.18-5.18日期间,暂时仅接收非游戏相关的Log4j漏洞。
1、发现目标存在漏洞后,只能通过获取主机名${hostName}和内核版本信息uname来测试和验证漏洞(只提供dnslog证明的log4j不计分)。
2、不允许测试过程中进行写入文件、反弹shell、内网渗透等恶意操作,否则该行为视为违规,情节严重者将追究法律责任。更多细节请参考《src行业安全测试规范》。
3、在漏洞未经修复前,严禁对外披露漏洞详情,否则将取消所有奖励。
4、漏洞评级按照漏洞实际影响和危害进行评级。
5、Apache Log4j2漏洞不参与任何活动,包括但不限于主打产品、积分翻倍、年度季度奖励等。
感谢各位的支持与理解~