点击蓝字 关注我们
活动时间:
7月1日10:30——7月7日24:00
收集范围
一、漏洞范围(以下条件均需满足)
1) 域名范围:*.ke.com、*.lianjia.com、*.realsee.com、*.ehomepay.com.cn、*.bkjk.com中贝壳找房直接发布的产品及服务。
2) 漏洞类型:Struts2、Shiro、Fastjson、log4j的命令执行漏洞,不收取只能请求dnslog的证明报告。
二、奖励标准
1、基础奖金
活动期间,满足活动要求的漏洞基础奖励为6000元/个
2、阶梯奖金
活动期间,所有白帽小伙伴们提交的满足活动范围的有效漏洞,符合以下叠加数量要求,则所有漏洞享受新的奖励档位积分
5个及以上有效漏洞 7000元/个
8个及以上有效漏洞 8000元/个
12个及以上有效漏洞 9000元/个
例如:
活动期间,小A与小B一共提交了5个满足活动要求的有效漏洞,则他两提交的所有有效漏洞享受7000元/个的奖励标准。
活动期间,小A提交了8个满足活动要求的有效漏洞,则他提交的所有有效漏洞享受8000元/个的奖励标准。
简而言之,活动期间,我们收到更多的满足活动要求的有效漏洞,所有白帽小伙伴获得的单个漏洞奖金越高!!!!
最终奖励区间以后续公布为准
提交规则
1、提交漏洞时标题请务必标注【专项活动】字样,如未标注,则按BKSRC日常漏洞收录规则进行相关审核,奖励标准适用日常奖励标准
2、提交地址:https://security.ke.com
3、活动时间外默认按照BKSRC日常漏洞收录规则进行相关审核,奖励标准适用日常奖励标准
4、活动漏洞奖励将以积分的方式进行发放,需自行兑换
5、本活动最终解释权归BKSRC所有,如有疑问,请联系运营
注意事项
1、禁止使用扫描器、压力测试等高并发程序扫描、攻击测试对象
2、测试完毕后,如有对账号的修改操作,请务必恢复,如:删除自己添加的测试数据等
3、测试命令执行、数据库注入、webshell上传、供应链攻击等可直接威胁集团内网及数据库安全的漏洞或情报,发现问题后需周知贝壳SRC,经授权后才能进行横向移动,未经授权禁止植入后门或者对内网其他主机进行测试;
4、恶意拖取数据、下载源码等越界行为,漏洞均0分处理,且贝壳找房有权利报案、举报、并配合刑事侦查机关提供相应证据;
5、参与测试的同学,需要遵守保密协定,勿将页面截图、功能模块详情等外传泄露;
6、测试SQL注入类漏洞时,应采取手工注入,且获取的数据量不能超过10组;
7、测试命令执行漏洞时,证明漏洞即可,禁止植入文件或者对内网其他主机进行扫描测试;
8、获取网站的权限时,禁止修改代码文件或植入后门等操作;
9、在漏洞测试过程中,须遵守BKSRC白帽测试规范,详情参见:https://security.ke.com/notices/details?id=15。
| /
★
贝壳安全应急响应中心
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...