2020 - 618菜鸟合作伙伴安全众测公告
618大促即将来临,为了更好的保障菜鸟合作伙伴数亿用户的隐私等信息安全问题,建设更加安全、和谐的物流生态环境,菜鸟安全响应中心发起菜鸟合作伙伴安全众测。针对如下资产接收安全漏洞/安全情报,请小伙伴们务必留意资产范围哦~
【众测时间】
2020年5月8日00:00 — 2020年5月17日24:00
【参与方式】
提交众测资产的安全漏洞/情报时,务必在漏洞名称处写明【618众测】,并在“是否众测”处下拉选择“是”(如未标注,视为无效)!
漏洞名称样例:【618众测】某某系统存在某某安全漏洞
【奖励方式】
众测期间,在菜鸟安全响应中心提交众测资产的有效安全漏洞/情报,将按照以下方式发放安全币:
【严重漏洞】= 3倍安全币
【高危漏洞】= 2倍安全币
【中危漏洞】= 1.5倍安全币
【低危漏洞】按照日常安全币数量发放
注意:非众测范围内的资产漏洞,不享受本活动的奖励规则,按照日常奖励进行发放。
***众测期间漏洞审核及安全币发放时效稍慢,请谅解,谢谢!***
【众测资产】
(注:丹鸟、溪鸟请选择“所属公司”为“菜鸟”)
| 企业名称 | 资产名称 | 域名 |
| 心怡 | 泛域名(*.boss.alog.com) | *.boss.alog.com |
| 泛域名(*.alog.cc) | *.alog.cc | |
| 泛域名(*.auwms.com) | *.auwms.com | |
| 泛域名(*.cangyibao.com) | *.cangyibao.com | |
| 泛域名(*.alog.com) | *.alog.com | |
| 泛域名(*.gdworld.cn) | *.gdworld.cn | |
| 泛域名(*.juban.com) | *.juban.com | |
| 点我达 | 泛域名(*.dianwoda.com ) | *.dianwoda.com |
| 泛域名(*.dianwoda.cn ) | *.dianwoda.cn | |
| 泛域名(*.nidianwo.com) | *.nidianwo.com | |
| 泛域名(*.dwb123.com) | *.dwb123.com | |
| 泛域名(*.dwbops.com ) | *.dwbops.com | |
| 丹鸟 | 丹鸟域名(*.danniao.com) | *.danniao.com |
| 溪鸟 | 溪鸟域名(*.56xiniao.com) | *.56xiniao.com |
| 圆通 | 金刚海外营运门户 | portal.ytoglobal.com |
| 统一登录平台 | idp.yto56.com.cn | |
| 金刚 | jg.yto56.com.cn | |
| 驾驶舱 | jsc.yto56.com.cn | |
| 妈妈驿站 | manager.mamayz.com/stationwebexp | |
| 申通 | 申通梧桐系统 | https://sso.sto-express.cn/ |
| 申通官网 | *.sto.cn | |
| 申通国际 | *.stointl.com | |
| 优速 | 新乾坤系统 | http://sso.uat.uc56.com/omg-sso-main/ |
| 优享寄 | http://ucp.uat.uc56.com | |
| 优速宝 | http://ucb.uat.uc56.com/ | |
| 安能 | 鲁班 | lb.ane56.com |
| 结算平台 | fin.ane56.com | |
| 百世汇通 | 店加云眼(便利店Web版) | https://storebi.800best.com |
| 店加云眼(便利店微信版) | https://mstorebi.800best.com/bistore-wx-h5/login | |
| 云供-钱包api公网域名 | https://dianjiapay.800best.com | |
| 云供-店加销售前台 | https://www.dianjia.com | |
| 云供-店加销售后台 | https://admin-dianjia.800best.com | |
| 云供-店加运营平台 | https://dianjiaop.800best.com | |
| 云供-店加合伙人平台 | https://pop.dianjia.com/ | |
| C网对外接口 | https://beststoreapp.800best.com | |
| 闪店POS店主端管理系统 | https://djstore.800best.com | |
| 闪店ERP管理系统 | https://dianjiaerp.800best.com | |
| 韵达 | 韵达电商erp系统 | http://erp.yundasys.com:45184/dist/index.html#/login |
| 韵达官网 | www.yundaex.com | |
| 韵达快运官网 | http://www.yunda56.com/cn/ | |
| 韵达网点派单系统 | http://wdoms.yundasys.com:65180/oms/index.php?m=Home&c=login&a=showLoginForm | |
| 韵达业务OMS系统 | http://ydoms.yundasys.com:65188/oms/index.php?m=Home&c=login&a=showLoginForm | |
| 韵达仓配OMS系统 | http://oms.yundasys.com:2124/oms/api.php | |
| 韵达实名揽件统计报表 | http://ydcloud.yundasys.com:7063/statments/public/index.php/admin/pub/login.html | |
| 韵达超市APP | https://appcdn.yundasys.com/appstore//s/1.6.1/yundaMarket.do | |
| 韵达预付款2.0 | http://yfka.yundasys.com:65201/ydcmp/login.html | |
| 韵达老预付款系统 | http://pay.yundasys.com:30115/prepayment/cas_login.php | |
| 韵达一站式TD结算系统 | http://ydzhbb.yundasys.com:11324/jgsz2011/jgsz_cas_login.php | |
| 韵达电子面单系统 | http://cainiao.yundasys.com:5161/cainiao/protected/login/index_cas.php | |
| 韵达GOS国际订单系统 | http://gos.yundasys.com:45109/ydgos/ | |
| 韵达快件查询 | http://ykjcx.yundasys.com:1602/wsd/ykjcx/cxend.jsp | |
| EMS | 物流门户网站 | cnpl.ems.com.cn |
| 中国邮政速递物流官网 | www.ems.com.cn | |
| 国际质量管理平台 | http://211.156.193.150:8000/iso | |
| 在线客服系统 | http://211.156.201.20:9096/imcloud/static/visitor.html | |
| 物流综合信息平台 | 211.156.220.98:8080,9300 | |
| EMS跨境电商综合服务平台 | int.ems.com.cn | |
| EMS中邮海外购系统 | buy.ems.com.cn | |
| EMS最后一百米 | agent.ems.com.cn | |
| EMS中邮海外仓系统 | cpws.ems.com.cn | |
| 德邦 | 德邦快递官网 | www.deppon.com |
| 大客户发件系统 | vip.deppon.com | |
| 仓管家 | cps.deppon.com | |
| 德邦请车 | che.deppon.com | |
| 金融门户 | jr.deppon.com | |
| 月结客户 | cubcb2b.deppon.com | |
| 骆驿 | tps.deppon.com |
【注意事项】
1、请勿对线上系统进行大规模扫描,以免引起故障。
2、同一漏洞,首位报告者发放安全币(漏洞描述不清的直接忽略),其余按照重复忽略。
3、sql注入要求至少到注出数据库名称,不达标按驳回处理。
4、XSS必须说明POC、输入点、输出点,URL和截图都需要,不达标按驳回处理。
5、同一功能模块下多个注入点或者多个xss算一个漏洞。
6、同一系统中同一类型的漏洞确认不超过3个,如全站存在通用越权、XSS、CSRF、同一页面多个参数存在SQL注入等。
7、禁止利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,菜鸟网络保留采取进一步法律行动的权利。
8、内部员工不得参与或通过朋友参与本次活动。
9、其他未尽事宜,参见菜鸟安全响应中心公告。
【活动声明】本活动最终解释权归菜鸟安全响应中心所有。
菜鸟安全响应中心钉钉交流群:21783197(进群请备注:CNSRC)
浙公网安备33010002000117号