复旦大学校园信息化办公室拟对“复旦大学漏洞挖掘技术服务（2025）”项目采用询价方式采购，欢迎符合相关资质的供应商提供报价。

项目名称：复旦大学漏洞挖掘技术服务（2025）

项目联系人：季千惠

项目联系人电话：021-********

一、采购项目简介：

为加强校园信息系统网络安全管理，拟通过模拟黑客利用自动化技术和手段化技术对校园重要信息系统进行入侵，来达到检测安全漏洞的目的，从而加强信息系统安全防护水平，具体需求如下：

1、漏洞挖掘范围：学校不少于20个重要信息系统。

2、漏洞挖掘人员要求：漏洞挖掘经验三年以上，具有CISP证书。

3、服务方式：现场。

4、挖掘漏洞包括但不限于：文件上传、验证码、失效、短信轰炸、邮件轰炸、任意用户密码重置、任意手机号注册、任意邮箱注册、暴力破解、平行越权、垂直越权、社工攻击、SQL注入、跨站脚本攻击、web弱口令、系统服务弱口令、不安全的请求方法、敏感文件泄露、私有地址泄露、敏感信息泄露、目录遍历、命令执行、文件包含、服务器请求伪造、跨站请求伪造、重定向、外部实体注入、反序列化、框架漏洞、中间件漏洞等和多种操作系统漏洞。

5、编写漏洞挖掘报告：服务方在漏洞挖掘完成后须根据每个漏洞给出相对应的修复方案。

6、配合整改和复测：配合学校对发现的安全漏洞提供整改咨询和支持，完成修复后对漏洞进行复测，确保漏洞修复完毕。

二、供应商资格要求：

1、供应商应具有本地化服务能力，在上海设有机构或办事处。

2、服务商为具有相关经营范围的独立法人或其他组织。

3、服务商近三年未被“信用中国”网站（www.creditchina.gov.cn）、中国政府采购网（www.ccgp.gov.cn）等官方渠道列入失信被执行人、重大税收违法案件当事人名单或严重违法失信名单。

4、公司须具备CCRC信息安全服务资质。

5、服务商须具有完善的商业漏洞挖掘工具，检测工具须具备以下功能：a.设备内置VPN拨号漏洞挖掘功能（提供截图并原厂盖章）；b.须具备对SQL注入、XSS攻击、文件包含类等漏洞存在、可利用及利用方式的提醒（提供截图并原厂盖章）；c.须具备HTTP代理、提供HTTP代理服务器的功能，用来获取通过用户名和密码登录时的cookie，从而进行漏洞挖掘（提供截图并原厂盖章）。

三、预算金额：小于20万元

四、公告期限：自发布之日起5个自然日

五、报价材料要求：

加盖公章的报价单、资格证明材料、实施案例等。

报价单模板请参照信息办主页-采购信息栏目置顶文章（https://xxb.fudan.edu.cn/cgxx/list.htm）。

六、响应方式、投递时间及地点

1.投递纸质响应文件，迟到或未进行密封的响应文件恕不接受。

2.投递时间：2024年11月11日上午9:00-11:00（北京时间）。

3.地点：上海市杨浦区邯郸路220号复旦大学光华楼西辅楼603。

4.纸质响应文件无需装订成册，建议双面打印。