发布新漏洞

请您提供尽可能详细的漏洞信息,以便BITHACK.IO平台可以尽快审核漏洞。

1
漏洞类型

请选择相应的漏洞类型

漏洞类型
请选择
  • 访问控制
  • 加密漏洞
  • 安全设计
  • 污点输入
漏洞子类型
暴力破解
访问控制不当
信息泄露
调试信息泄露
目录列表信息泄露
报错信息泄露
路径遍历
隐私泄露
特权提升
使用弱伪随机数发生器(PRNG)
使用硬编码密钥
使用弱随机数
业务逻辑错误
反序列化漏洞
信息泄露漏洞
代码注入
命令注入
XSS - DOM型
XSS - 反射型
XSS - 存储型
反序列化漏洞
LDAP注入
OS命令注入
路径遍历漏洞
远程文件包含漏洞
SQL注入
SSRF

暴力破解

该软件没有采取足够的措施来防止在短时间内发生多次失败的身份验证尝试,使其更容易受到暴力攻击。(需要提供20次+以上爆破成功案例)

访问控制不当

该软件不限制或不正确地限制对未授权用户的资源访问。

信息泄露

向未明确授权访问该信息的用户有意或无意地披露信息。

调试信息泄露

该应用程序包含的调试代码会将敏感信息暴露给不受信任的各方。

目录列表信息泄露

目录列表被不恰当地暴露,从而向攻击者提供潜在的敏感信息。

报错信息泄露

该软件会生成一条错误消息,其中包含有关其环境,用户或关联数据的敏感信息。

路径遍历

该软件使用外部输入来构造路径名,该路径名用于标识位于受限父目录下的文件或目录,但该软件未正确中和路径名中可能导致路径名解析为在受限制的目录之外的某个位置的特定元素。

隐私泄露

该软件不能正确防止:(1)未明确授权访问数据的参与者访问私人数据(如信用卡号)或(2)与数据相关的人的允许。

特权提升

攻击者利用漏洞使他们能够提升自己的权限并执行他们不应被授权执行的操作。

使用弱伪随机数发生器(PRNG)

该产品在安全上下文中使用伪随机数生成器(PRNG),但PRNG在加密方面不强。

使用硬编码密钥

使用硬编码的加密密钥显着增加了可以恢复加密数据的可能性。

使用弱随机数

软件可能在基于不可预测数字的安全上下文中使用不完全随机的数字或值。

业务逻辑错误

此类别的漏洞通常允许攻击者操纵应用程序的业务逻辑的一些基本问题。

反序列化漏洞

应用程序对不受信任的数据进行反序列化,但未充分验证结果数据是否有效。

信息泄露漏洞

信息泄露漏洞是向未明确授权访问该信息的行为者有意或无意地泄露信息。

代码注入

该软件使用来自上游组件的外部影响输入构造全部或部分代码段,但它不会中和或不正确地中和可能修改预期代码段的语法或行为的特殊元素。

命令注入

该软件使用来自上游组件的外部影响输入构造全部或部分命令,但它不会中和或不正确地中和可能在将命令发送到下游组件时修改预期命令的特殊元素。

XSS - DOM型

会动态的将攻击者可控的内容加入页面的 JavaScript框架、单页面程序或API存在这种类型的漏洞。理想的 来说,你应该避免将攻击者可控的数据发送给不安全的JavaScript API。

XSS - 反射型

应用程序或API包括未经验证和未经转义的用户输入, 作为HTML输出的一部分。一个成功的攻击可以让攻击者在受害者 的浏览器中执行任意的HTML和JavaScript。 通常,用户将需要与指 向攻击者控制页面的某些恶意链接进行交互,例如恶意漏洞网站, 广告或类似内容。

XSS - 存储型

你的应用或者API将未净化的用户输入存储下来了, 并在后期在其他用户或者管理员的页面展示出来。 存储型XSS一 般被认为是高危或严重的风险。

反序列化漏洞

应用程序对不受信任的数据进行反序列化,但未充分验证结果数据是否有效。

LDAP注入

该软件使用来自上游组件的外部影响输入构造全部或部分LDAP查询,但它不会中和或不正确地中和可能在将其发送到下游组件时修改预期LDAP查询的特殊元素。

OS命令注入

该软件使用来自上游组件的外部影响输入构造全部或部分OS命令,但它不会中和或不正确地中和可能在将其发送到下游组件时修改预期OS命令的特殊元素。

路径遍历漏洞

该软件使用外部输入来构造路径名,该路径名用于标识位于受限父目录下的文件或目录,但该软件未正确中和路径名中可能导致路径名解析为在受限制的目录之外的某个位置的特定元素。

远程文件包含漏洞

PHP应用程序从上游组件接收输入,但在“require”,“include”或类似功能中使用之前,它不会限制或错误地限制输入。

SQL注入

该软件使用来自上游组件的外部影响输入构造全部或部分SQL命令,但它不会中和或不正确地中和可能在发送到下游组件时修改预期SQL命令的特殊元素。

SSRF

Web服务器从上游组件接收URL或类似请求并检索该URL的内容,但是它不能充分确保将请求发送到预期地址。

2
漏洞危害程度

请评估并选择漏洞的危害程度

低危
中危
高危
严重
3
所属企业

请选择漏洞所属企业,如果没有符合的选项,请选择“其它企业”,然后输入企业名称

所属企业
请选择
  • 58Coin
  • AEX
  • AICoin
  • aitc
  • allcoin
  • BBX
  • bcex
  • Bibox
  • Bifender Security Team
  • BIHUEX
  • Bit-z
  • BitAsset
  • Bixin
  • BoxEx
  • BTB
  • BTCBOX交易所
  • BTCTOP
  • bus.xyz
  • BYSEC.IO
  • CHAOEX
  • Coinbig
  • CoinEx
  • CoininAsia
  • CoinPark
  • CoinSuper
  • CoinTiger
  • coinw
  • DEW
  • DIYchain
  • D网
  • EOSFORCE
  • EOS主网测试
  • FatBTC
  • FUBT
  • hb.top
  • HCTF复活赛
  • Hotbit交易所
  • HPX
  • HZ
  • IDCM
  • imToken
  • IOST
  • i网
  • Kdax.pro
  • KEX
  • Mobi.me
  • okcoin
  • OKEX
  • OTC789
  • OTCBTC
  • QBTC
  • Qtum量子链
  • showcoin
  • swiftpass
  • Theia
  • Theia钱包
  • topbtc
  • WhaleEx
  • winmax
  • XKH
  • YEX
  • YOEXS
  • ZatGo承云
  • ZB
  • ZG
  • ZT交易所
  • 丁香园
  • 东北财经大学网络教育学院
  • 共享财经
  • 区分FIND
  • 大连暗泉信息技术有限公司
  • 大连暗泉信息技术有限公司
  • 太原科技大学
  • 币世界
  • 币包
  • 币管家
  • 新财经
  • 星火链科技有限公司
  • 比特亚洲
  • 比特兔
  • 比特币之家
  • 深圳市傲天科技股份有限公司
  • 深圳市新国都股份有限公司
  • 深圳市白帽信息技术有限公司
  • 深链财经
  • 火币
  • 火星财经
  • 火球财经
  • 狮桥集团
  • 百世
  • 简书
  • 趣币
  • 道格上网服务有限公司
  • 金色财经
  • 非小号
  • 鸵鸟区块链
  • 其他
4
漏洞描述

请详细描述漏洞细节,以便漏洞报告尽快通过审核

5
个人信息

访客提交漏洞请填写Email地址,便于社区管理员与您取得联系、审核漏洞、以及为您创建帐号。

Email地址