ByteSRC专测第16期｜字节财经专项众测来袭！

ByteSRC专测第16期

财经安全专项众测重磅来袭！

@广大白帽师傅一起加入！

查隐患挖漏洞！守护财经安全~❤️

2月23日-3月15日

本次专测不提供测试账号

无需报名，直接提交报告即可

标题需备注【财经】

To C场景

不与平台其他翻倍奖励叠享

1、降级场景：

-无法稳定复现的漏洞。

-需要交互的利用，例如钓鱼风险需要受害者进行点击链接、查看消息或邮件等。

-影响范围非常小，比如某些系统只有几十个注册用户、旧系统只有少量数据、一些对业务无实际影响的运维监控数据、测试数据等。

-部分环节与其他漏洞重复的利用的漏洞。

-URL跳转类需要用户登录态/需要注册固定域名来跳转的，接口明确用于URL跳转用途无其他安全危害不收取。

-利用条件苛刻（如：特殊账号权限才能发现利用的漏洞等）或人力、时间成本与实际危害明显不匹配的漏洞（如长度10位以上且无规律的ID爆破）。

2、关于漏洞合并收取的情况：

-同一漏洞源产生的多个漏洞按照一个漏洞收取。如同一个JS引起的多个安全漏洞、同一个发布系统引起的多个页面的安全漏洞、框架导致的整站的安全漏洞、泛域名解析产生的多个安全漏洞等。如发现此类问题，请统一提交到一个漏洞报告中，我们将适当升级或增加积分。

-对于同一个接口，如果多个参数存在类似的漏洞，按一个漏洞收取，不同类型的，按危害程度最大的计分

-不属于同一漏洞源，但管理员判断需要合并收取的（同一系统，利用手段相似的多个漏洞；具有利用顺序关系的多个漏洞等），将适当升级或增加积分后合并收取。若合并时，原漏洞已有评分，将在原漏洞基础上进行评分修改，新漏洞忽略处理。

3、短信轰炸相关漏洞收取说明：短信轰炸需要能够绕过已有风控策略，造成短时间高强度（5分钟内连续发送50条以上）对同一号码进行轰炸。横向短信轰炸（对不同手机号码发送短信）不收取。

4、CSRF仅收取重要敏感操作（如发帖、回帖、点赞、修改用户信息、绑定账号、登出账号），评级不超过【中】（如组合利用达到更高危害可进一步讨论）。

5、XSS仅能执行代码，不能获取到Cookie或以用户身份进行操作，评级不超过【中】，PDF渲染造成的相关XSS不收取。

6、通过消耗计算、存储等资源造成短时间的拒绝服务或资源消耗攻击，评级不超过【低】。

7、组织内的越权漏洞，无重大影响，评级不超过【中】。

重要：专测开始前，需和运营报备即将使用的C2的IP地址，未及时报备可能会影响最终漏洞奖励

1、禁止可能引起业务异常运行的测试，禁止用扫描器或其他自动化工具，只允许手工测试；禁止网络拒绝服务（DoS 或DDoS）测试。

2、注入漏洞严禁读取表内数据，对于UPDATE、DELETE、INSERT 等注入类型，不允许使用自动化工具进行测试。（对于可能改变表数据的，需要提前报备。）

3、禁止进行内网渗透测试行为，例如：获取内网权限后在内网使用扫描器、或横向接触非对外开放系统目标、获取内网应用/主机权限/数据等。

4、禁止下载、保存和传播和业务相关的敏感数据，包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料、登陆凭证等，若存在不知情的下载行为，需及时说明和删除。

5、禁止进行近源攻击或者黑客物理入侵、社会工程学测试或邮件钓鱼等任何其他非技术漏洞测试，尤其是禁止使用社工库等非法手段获取用户密码。

6、越权漏洞：越权读取时能够证明读取数量即可，且读取到的真实数据不超过5组，严禁进行批量读取；敏感操作不得涉及线上正常用户的帐号。（如需进一步证明危害，请咨询管理员得到同意后进行测试。）

7、禁止使用任何违反平台规定或法律法规的文字、图片、视频作为测试素材。

8、根据违规情节严重程度，针对违规人员将采取以下3种处罚措施：

-取消单个报告奖励（如情节严重将一并取消月度奖励）；已发放的奖励将追回。

-半年内违规两次，封禁账号。

-未遵守保密协定，利用安全漏洞进行破坏、损害系统及用户的利益的攻击行为，我们保留追究法律责任的权利。