活动｜年末冲刺，双倍积分奖励～

时间是让人猝不及防的东西

不经意间

2022快要从指缝间溜走

回顾 2022

有磨难也有成长

有挫折也有成功

有辛酸也有感动

在这一年

我们相互陪伴 共同成长

因为有你

我们的2022才如此精彩

为感谢白帽们这一年的辛勤付出

涂鸦SRC将根据

年度漏洞提交排名、有效漏洞数等多个维度

为年度优秀白帽发放诱惑力十足的年终奖！

本年度最后一次奖励翻倍活动，

助力白帽们冲刺年终荣誉

大家一起冲鸭！

涂鸦全域业务

1. 提交漏洞时，标题前加上【年终冲刺】 ……比如：【年终冲刺】xx网站存在存储XSS。如提交漏洞格式不符合，此漏洞将不参与本次活动；

2. 证明漏洞存在即可。 测试过程中不得有损害用户利益、影响业务正常运作等行为，如有违反，TuyaSRC有权取消漏洞奖励并保留追究其法律责任的权利;

3. 当发现入侵类风险后需周知涂鸦，经授权后才能进行横向移动，未经授权禁止植入后门或者对内网其他主机进行测试；

4. 禁止邮件钓鱼社工；

5. 测试SQL注入类漏洞时，应采取手工注入，且获取的数据量不能超过10组；

6. 禁止网络拒绝服务（DoS 或DDoS）测试；

7. 严禁利用漏洞下载/保存源代码、用户个人信息等敏感数据。若在不知情情况下下载，应及时告知TuyaSRC工作人员并删除；

8. 测试命令执行漏洞时，证明漏洞即可，禁止植入文件或者对内网其他主机进行扫描测试；

9. 测试验证越权漏洞等逻辑风险时，请自行注册测试账号进行测试。务必控制测试范围，不得危害系统正常数据或影响正常用户使用；

10. 禁止进行物理测试、社会工程学测试或邮件钓鱼等任何其他非技术漏洞测试；

11. 获取网站的权限时，禁止修改代码文件或植入后门等操作；

12. 使用扫描器或其他自动化工具测试时，请务必控制好速率，不得影响业务正常运行；

13. 须知：单个系统只收取前三个相同类型的漏洞；

14. 对于非涂鸦直接参与运营的产品和业务或是涂鸦外部客户的应用漏洞，均不收取；

15. 请务必认真阅读《涂鸦SRC漏洞定级和奖励方案 V1.4》，地址参考：https://src.tuyacn.com/announcement/10；

16. 有效漏洞指低危、中危、高危、严重漏洞，无影响不属于有效漏洞。拒绝无实际危害证明的扫描器结果，此类报告将被忽略处理；

17. 我们反对和谴责一切以漏洞测试为借口，利用安全漏洞进行破坏、损害涂鸦系统及用户的利益的攻击行为，我们保留追究法律责任的权利；

18. TuyaSRC对本次活动相关规则保留最终解释权。