活动介绍
时间是让人猝不及防的东西
不经意间
2022快要从指缝间溜走
回顾 2022
有磨难也有成长
有挫折也有成功
有辛酸也有感动
在这一年
我们相互陪伴 共同成长
因为有你
我们的2022才如此精彩
为感谢白帽们这一年的辛勤付出
涂鸦SRC将根据
年度漏洞提交排名、有效漏洞数等多个维度
为年度优秀白帽发放诱惑力十足的年终奖!
本年度最后一次奖励翻倍活动,
助力白帽们冲刺年终荣誉
大家一起冲鸭!
Part.1
活动时间
2022年12月16日至2022年12月21日
Part.2
活动范围
涂鸦全域业务
Part.3
奖励规则
请通过涂鸦安全应急响应中心(src.tuya.com/src.tuyacn.com)提交漏洞。
活动期间提交有效漏洞可获得双倍积分奖励,1积分=1美元,奖励详情如下:
业务等级 | 严重 | 高危 | 中危 | 低危 |
核心业务 | 2000-20000 | 1200-2400 | 200-1200 | 20-600 |
普通业务 | 1000-10000 | 600-1200 | 100-600 | 10-300 |
活动说明
1. 提交漏洞时,标题前加上【年终冲刺】 ……比如:【年终冲刺】xx网站存在存储XSS。如提交漏洞格式不符合,此漏洞将不参与本次活动;
2. 证明漏洞存在即可。 测试过程中不得有损害用户利益、影响业务正常运作等行为,如有违反,TuyaSRC有权取消漏洞奖励并保留追究其法律责任的权利;
3. 当发现入侵类风险后需周知涂鸦,经授权后才能进行横向移动,未经授权禁止植入后门或者对内网其他主机进行测试;
4. 禁止邮件钓鱼社工;
5. 测试SQL注入类漏洞时,应采取手工注入,且获取的数据量不能超过10组;
6. 禁止网络拒绝服务(DoS 或DDoS)测试;
7. 严禁利用漏洞下载/保存源代码、用户个人信息等敏感数据。若在不知情情况下下载,应及时告知TuyaSRC工作人员并删除;
8. 测试命令执行漏洞时,证明漏洞即可,禁止植入文件或者对内网其他主机进行扫描测试;
9. 测试验证越权漏洞等逻辑风险时,请自行注册测试账号进行测试。务必控制测试范围,不得危害系统正常数据或影响正常用户使用;
10. 禁止进行物理测试、社会工程学测试或邮件钓鱼等任何其他非技术漏洞测试;
11. 获取网站的权限时,禁止修改代码文件或植入后门等操作;
12. 使用扫描器或其他自动化工具测试时,请务必控制好速率,不得影响业务正常运行;
13. 须知:单个系统只收取前三个相同类型的漏洞;
14. 对于非涂鸦直接参与运营的产品和业务或是涂鸦外部客户的应用漏洞,均不收取;
15. 请务必认真阅读《涂鸦SRC漏洞定级和奖励方案 V1.4》,地址参考:https://src.tuyacn.com/announcement/10;
16. 有效漏洞指低危、中危、高危、严重漏洞,无影响不属于有效漏洞。拒绝无实际危害证明的扫描器结果,此类报告将被忽略处理;
17. 我们反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害涂鸦系统及用户的利益的攻击行为,我们保留追究法律责任的权利;
18. TuyaSRC对本次活动相关规则保留最终解释权。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...