活动｜log4j组件命令执行漏洞专项测试开启～～～

1、漏洞范围（以下条件均需满足）

1） 域名范围：*.ke.com、*.lianjia.com、*.realsee.com、*.ehomepay.com.cn、*.bkjk.com中贝壳找房直接发布的产品及服务。

2） 漏洞类型：log4j 的命令执行漏洞，不收取只能请求dnslog的证明报告。

2、奖励标准

1）漏洞积分：活动期间，符合活动要求的漏洞，按单个漏洞600积分进行收取

2）额外奖励：除漏洞积分外，每个有效漏洞额外奖励300积分，先到先得，额外奖励奖金池发放即止

例如：

1）小贝在额外奖励奖金池未发完之前提交一个满足活动要求的漏洞，则获得600+300=900积分的奖励，小贝就能在平台兑换4500元现金

2）小贝在额外奖励奖金池发完之后提交符合漏洞收取范围的漏洞，但是仍然在活动时间内，那么将获得600的漏洞积分但无额外积分奖励，小贝就能在平台兑换3000元现金

3）小贝在活动时间外提交相关漏洞，则默认按照BKSRC日常漏洞收录规则进行相关审核‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

注意事项

1、禁止使用扫描器、压力测试等高并发程序扫描、攻击测试对象

2、测试完毕后，如有对账号的修改操作，请务必恢复，如：删除自己添加的测试数据等

3、测试命令执行、数据库注入、webshell上传、供应链攻击等可直接威胁集团内网及数据库安全的漏洞或情报，发现问题后需周知贝壳SRC，经授权后才能进行横向移动，未经授权禁止植入后门或者对内网其他主机进行测试；

4、恶意拖取数据、下载源码等越界行为，漏洞均0分处理，且贝壳找房有权利报案、举报、并配合刑事侦查机关提供相应证据；

5、参与测试的同学，需要遵守保密协定，勿将页面截图、功能模块详情等外传泄露；

6、测试SQL注入类漏洞时，应采取手工注入，且获取的数据量不能超过10组；

7、测试命令执行漏洞时，证明漏洞即可，禁止植入文件或者对内网其他主机进行扫描测试；

8、获取网站的权限时，禁止修改代码文件或植入后门等操作；

9、在漏洞测试过程中，须遵守BKSRC白帽测试规范，详情参见：https://security.ke.com/notices/details?id=15。