活动｜BKSRC组件命令执行漏洞专项测试活动二期开始啦～～

一、漏洞范围（以下条件均需满足）

1） 域名范围：*.ke.com、*.lianjia.com、*.realsee.com、*.ehomepay.com.cn、*.bkjk.com中贝壳找房直接发布的产品及服务。

2） 漏洞类型：Struts2、Shiro、Fastjson、log4j的命令执行漏洞，不收取只能请求dnslog的证明报告。

二、奖励标准

1、基础奖金

活动期间，满足活动要求的漏洞基础奖励为6000元/个

2、阶梯奖金

活动期间，所有白帽小伙伴们提交的满足活动范围的有效漏洞，符合以下叠加数量要求，则所有漏洞享受新的奖励档位积分

5个及以上有效漏洞 7000元/个

8个及以上有效漏洞 8000元/个

12个及以上有效漏洞 9000元/个

例如：

活动期间，小A与小B一共提交了5个满足活动要求的有效漏洞，则他两提交的所有有效漏洞享受7000元/个的奖励标准。

活动期间，小A提交了8个满足活动要求的有效漏洞，则他提交的所有有效漏洞享受8000元/个的奖励标准。

简而言之，活动期间，我们收到更多的满足活动要求的有效漏洞，所有白帽小伙伴获得的单个漏洞奖金越高！！！！

最终奖励区间以后续公布为准

注意事项

1、禁止使用扫描器、压力测试等高并发程序扫描、攻击测试对象

2、测试完毕后，如有对账号的修改操作，请务必恢复，如：删除自己添加的测试数据等

3、测试命令执行、数据库注入、webshell上传、供应链攻击等可直接威胁集团内网及数据库安全的漏洞或情报，发现问题后需周知贝壳SRC，经授权后才能进行横向移动，未经授权禁止植入后门或者对内网其他主机进行测试；

4、恶意拖取数据、下载源码等越界行为，漏洞均0分处理，且贝壳找房有权利报案、举报、并配合刑事侦查机关提供相应证据；

5、参与测试的同学，需要遵守保密协定，勿将页面截图、功能模块详情等外传泄露；

6、测试SQL注入类漏洞时，应采取手工注入，且获取的数据量不能超过10组；

7、测试命令执行漏洞时，证明漏洞即可，禁止植入文件或者对内网其他主机进行扫描测试；

8、获取网站的权限时，禁止修改代码文件或植入后门等操作；

9、在漏洞测试过程中，须遵守BKSRC白帽测试规范，详情参见：https://security.ke.com/notices/details?id=15。