您输入的漏洞名称有误,请重新输入
请您选择漏洞类型
您输入的漏洞详情有误,请重新输入
选择文件 格式限制:doc、docx、7z、zip、gz、bz2,请上传小于5M的文件
上传失败,请检查文件格式和大小
您输入的验证码有误,请重新输入

在漏洞未修复之前,请不要向外界传播

您输入的验证码有误,请重新输入

温馨提示

我们关注的内容

域名及其子域名:*.
jr.ly.com(金服启程宝)
aigobo.cn(爱购保)
jq.aigobo.cn(爱购保投保系统)
wx.aigobo.cn(微信 爱购保登录)
ccjieqian.com(虫虫借钱)
payment.ly.com/mcs-web(结算平台)
channel.fireflyloan.cn(授权中心统一认证)
fireflyloan.cn(同驿贷)
m.fireflyloan.cn/h5/decoration-loan(同驿贷H5)
capital.fireflyloan.cn(同驿贷金融机构管理平台)
jrdata.ly.com/data-web(源旅数据平台)
pc.tcashfree.cn(爬虫接口)

我们的评判标准

https://securitytcjf.com/wp/?p=325
请仔细阅读我们的评分奖励标准!
不在奖励计划范围内的漏洞
奖励计划的目标是发现和识别对同程金服业务系统以及用户数据造成影响的漏洞,但以下情况不在奖励计划范围内:
l任何非敏感信息泄露(如IP地址,服务名称以及一些无用的错误信息,如栈跟踪信息);
l无实际危害证明的扫描器结果;
l其他无效的“漏洞”,包括不限于:
1)不涉及安全问题的 Bug。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题。
2)无法利用的漏洞。包括但不仅限于Self-XSS、无敏感操作的 CSRF、无意义的异常信息泄漏、内网 IP 地址/域名泄漏。
3)不能直接反映漏洞存在的其他问题。包括但不仅限于纯属用户猜测的问题。
4)遍历手机号发短信,遍历用户名(邮箱)判断是否已注册、邮箱轰炸、验证码爆破、无额外验证导致可爆破(非重点核心功能)、无任何意义或影响的越权。


更多详情请查看:TJSRC漏洞处理和评分标准