常见问题

1、关于注册

MetaScan平台采取邀请码注册机制,用户在提交模块并通过审核之后,系统会自动以邮件的形式向您的邮箱中发送邀请码。

2、模块定义

MetaScan平台对模块有两种定义,一种是辅助模块(poc),一种是利用模块(exp)。

辅助模块:可通过获取目标的基本信息来验证漏洞的存在与否。(如sql注入漏洞中获取当前目标的管理员账号密码、数据库账号密码,数据库名,操作系统类型等。)
利用模块:可获取到网站权限或是系统权限并且可以通过Metasploit建立会话连接。(如PHP任意文件上传漏洞,上传一个msfvenom生成的PHP文件到目标网站,访问该PHP文件后,目标网站自动与本机的Metasploit建立会话连接)

3、收录限制

MetaScan平台目前只收录具有一定危害性的漏洞(如文件上传,命令执行、代码执行、文件包含、SQL注入、溢出漏洞等,类似反射型XSS、CSRF之类的低威漏洞不在平台的收录范围),同时所针对的必须是客户群体(客户量不低于500)较大的通用型应用,如:
第三方软件、web应用,网络设备(华为、思科、H3C)、工控设备、开源软件、开源框架、浏览器、app应用、路由器、IDS/IPS/堡垒机、vpn系统、windows/unix/linux/os x操作系统。(包括但不限于以上列表)

4、验证环境

如果非开源程序,应当提供至少三个可复现的案例。
如果为开源程序,需提供应用安装包或提供可复现案例。

5、金币说明

MetaScan平台采用金币作为积分单位,进行相关奖励、查看模块、提现等,金币为MetaScan平台唯一货币。
金币与用户的经验值对应,经验值对应用户的等级(参考:用户等级说明)
金币在进行提现,查看模块等消费操作之后,金币减少,对应的经验不会减少,经验值随着金币的增长而增加(注:兑换分成等情况不计入经验值)
金币与现金(人民币)的比例为:1金币 = 10元

6、如何获取金币?

  • 提交模块获取,主要获取金币来源的方式。
  • 兑换分成所得,当有用户兑换查看自己的模块时,平台会反馈部分金币给模块作者。
  • 平台额外奖励,若用户对平台提出了一些改善性意见或建议且被采纳之后,平台会给予相应的奖励。

注:对于利用非正规手段获取的金币,平台将对其账号进行封禁。

7、如何使用金币?

  • 兑换现金。
  • 查看其它用户模块。
  • 在商场兑换奖品(后续会上线金币商城)。

8、如何支付奖励?

付款方式可以为支付宝/银行卡等方式,您可以选择适合自己的一种收款方式。
平台收到提现请求后,5个工作日之内,打款到对应帐户中。
注意事项:
平台金币提现为50金币起步。
提现时需提供正确的联系方式、支付宝账号等,若因信息错误导致未到账等问题自行承担。
提现只针对在本平台通过正常途径注册且获得邮箱验证的用户。

9、多人同时提交同一个漏洞的模块?

多人同时提交同一模块时,平台均会进行审核,但只会从中采纳最优质的一个。

10、模块审核流程

模块提交以后,由相关审核员对模块进行分析复现,确认模块无误后,对模块进行评分,奖励对应金币。

11、查看审核进度

第一次提交模块的用户,请耐心等待,模块审核通过后会发邀请码到注册邮箱,请关注邮件。
已有账号的用户可随时登陆平台查看模块审核进度。

12、漏洞重复

平台针对如下几种情况,认定为漏洞重复:
对于同一文件的同一参数,但注入时的请求方式不同(如GET、POST)
对于不同文件的同一参数
对于不同目录的同一文件
对于同一目录的相似文件
若出现上述重复的情况,平台期许您做合并处理之后再提交,合并通过审核之后平台会有额外奖励。