本次漏洞盒子测试项目为：LOCKet加密产品安全测试，热情邀请漏洞盒子和FreeBuf的白帽子参加测试，奖金丰厚。

‍

关于LOCKet

LOCKet是一家以独立第三方形式为用户提供数据安全服务的产品，不涉及数据的存储、分析，加密后的数据由用户自己管控。

测试范围

1）客户端用到的服务接口
2）仅限Windows及Android平台下客户端 
*更多待测试产品及测试范围陆续开放中 
*其中关于产品的部分需要重点测试，非业务相关的网站服务器安全优先级较低。

漏洞定义及奖金规则

高危漏洞

奖金范围：1000 – 2000

1）直接获取权限的漏洞（服务器权限、客户端权限）。包括但不限于远程任意命令执行、可利用远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、可利用浏览器use after free 漏洞、可利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞

2）直接导致严重的信息泄漏漏洞。包括但不限于重要 DB 的 SQL 注入漏洞。

3）直接导致严重影响的逻辑漏洞。包括但不限于伪造任意号码发送消息、伪造弹 TIPS 漏洞、任意帐号密码更改漏洞。

4）属于LOCKet移动客户端产品的自身开发功能的漏洞（不含Android系统漏洞）.以远程方式获取移动客户端权限执行任意命令和代码，漏洞场景包括但不仅限于远程端口连接、浏览网页和关联文件打开等远程利用方式。

中危漏洞

奖金范围：500 – 1000

1） 能直接盗取用户身份信息的漏洞。包括重要业务的重点页面的存储型 XSS 漏洞、普通站点的 SQL 注入漏洞

2） 越权访问。包括但不限于绕过认证访问后台、后台登录弱口令

3） 高风险的信息泄漏漏洞。包括但不限于源代码压缩包泄漏

4） 本地任意代码执行。包括但不限于本地可利用的堆栈溢出、UAF、double free、format string、本地提权、文件关联的 DLL 劫持（不包括加载不存在的DLL 文件及加载正常 DLL 未校验合法性）以及客户端产品的远程 DoS 漏洞、其它逻辑问题导致的本地代码执行漏洞

5） 直接获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、浏览器 use after free 漏洞、远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行漏洞

6） 可获取敏感信息或者执行敏感操作的重要客户端产品的 XSS 漏洞

7） 属于LOCKet移动客户端产品的自身开发功能的漏洞（不含Android系统漏洞），第三方应用可以跨应用调用移动客户端产品的功能完成一些高危操作，包括但不仅限于文件读写，短信读写，客户端自身数据读写等。

8） 需交互才能获取用户身份信息的漏洞。包括但不限于反射型 XSS（包括反射型 DOM-XSS）、JSON Hijacking、重要敏感操作的 CSRF、普通业务的存储型XSS

9） 远程应用拒绝服务漏洞、产品本地应用拒绝服务漏洞、敏感信息泄露、内核拒绝服务漏洞、可获取敏感信息或者执行敏感操作的客户端产品的 XSS 漏洞

10）普通信息泄漏漏洞。包括但不限于客户端明文存储密码、密码明文传输、包含敏感信息

11）导致LOCKet移动客户端敏感信息泄露的漏洞（不含Android系统漏洞），漏洞场景包括但不仅限于调试信息，逻辑漏洞，功能访问等导致的信息泄露。敏感信息包括但不仅限于用户名、密码、密钥、手机串号等移动客户端产品自身重要数据和隐私信息。

注意事项

1、漏洞在未公布之前禁止对外公开

2、禁止使用DDOS，自动化扫描工具等可能影响正常业务的攻击手法

3、不得以测试漏洞为借口，利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为

4、涉及以上行为账户赏金将冻结，同时LOCKet将采取进一步法律行动。

5、漏洞提交者提供可验证的漏洞、缺陷的Poc (proof of concept)

附加奖励

除此之外，所有参与该项目测试的白帽子，最终确定漏洞数排名TOP3的，立即获得 #漏洞盒子挖洞套餐（秋冬版）# 一份，可选择如下A、B两款套餐任意一份：

挖洞套餐（秋冬版）

A套餐

三得利沁柠水 550ML*6 
上好佳鲜虾条 *2 
北田 能量99棒 蛋黄口味 180g *1

B套餐

红牛 250ML*4
旺旺仙贝 52G *1
有友凤爪 100G *1

立即参加测试

https://www.vulbox.com/bounties/info/id/71‍‍