酷应用

重金！寻掘洞高手

百家作者：百度安全应急响应中心 2019-11-08 09:48:15

（点击图片查看活动上篇）

接上回书说到

本周我们将会发布感恩回馈月之活动四

2019年最后一场

规模大、周期长的超级翻倍活动

超级翻倍活动

活动四：漏洞奖金超级翻倍

高危漏洞/情报：4倍安全币奖励

严重漏洞/情报：5倍安全币奖励

测试范围：百度全域

提交地址：https://bsrc.baidu.com

翻倍活动时间：11月11日-11月30日

根据BSRC评分标准，以严重漏洞最高评分为例

发现百度业务相关严重漏洞最高奖励1600安全币

5倍奖励后为8000枚安全币

单个漏洞最高可拿40000元的现金奖励！！

当然，还可与优质漏洞奖励计划奖励、月度个人TOP、团队奖励叠加！

注：【百度众测】专项众测活动期间，百度众测相关漏洞与翻倍活动不可叠加，可与其余三种活动叠加。

完整11回馈月活动，看这篇就够了~

活动回顾如下

新老白帽入驻福利

活动一：新老白帽入驻福利

（点击标题回顾礼品介绍）

1、如果你2019年至今，未在BSRC提交过有效漏洞，那么即日起，你只需提交一个有效漏洞，小度智能音响、小度智能车载支架两款礼品即可任选其一；

2、如果你已经是BSRC的白帽子那么即日起，你只需介绍一名新白帽加入BSRC并提交有效漏洞（新白帽提交漏洞时备注介绍人ID），小度智能音响、小度智能车载支架两款礼品也可任选其一。

月度团队额外奖励

活动二：锋芒行动—月度团队额外奖励

11月总安全币	可获额外奖励
团队安全币>1500	5000
团队安全币>3000	15000

PS：可与BSRC月度个人、团队、高质量漏洞奖励叠加（注：团队成员上限15人）

月度高危数额外奖励

活动三：冲击月度高危数

11月提交高危数	可获额外奖励
提交3个高危漏洞	5000元
提交5个高危漏洞	8000元
提交6个高危漏洞	8400元
提交7个高危漏洞	8900元
提交8个高危漏洞	9600元
提交9个高危漏洞	10200元
提交10个高危漏洞	20000元
提交11个高危漏洞	20800元
提交12个高危漏洞	21700元
提交13个高危漏洞	22700元
提交14个高危漏洞	23800元
提交15个高危漏洞	30000元

特别奖励：11月高危活动中，高危数量最多的白帽子将获得BSRC年度海外颁奖盛典（差旅0自费）的名额哦！
PS：可与BSRC月度个人、团队、高质量漏洞奖励叠加

漏洞评分标准及相关说明

漏洞评审处理流程参照【BSRC漏洞处理流程5.0版本】

活动期间，中危、低危漏洞BSRC照常接收；

常见漏洞测试方法说明：

1、SSRF测试认定方法

如果可以访问到http://10.199.7.105/，第一行将输出一个40位的字符串作为flag，第二行为1024位的字符串，可获取到flag，认为是有回显的SSRF，请将此flag在提交漏洞时附上。可获取到flag及其后的1024位字符串，认为是完全回显SSRF。不同的回显程度会对应不同的打分，同时请不要尝试访问其他内网站点，以免造成不必要的影响。

2、SQL注入测试认定方法

SQL注入证明可获取数据即可，证明能读取user()、database() 即可，或者由我们进行验证。 同时请勿恶意获取数据（超过20条）。

3、命令执行类漏洞验证方式：仅允许执行验证性命令（whoami/hostname/ifconfig/pwd），禁止其他恶意操作（如反弹shell、扫描内网等）

4、上传类漏洞验证方式：仅可上传php文件内容为phpinfo();或echo md5(“123456”)

注意事项

测试验证数据应控制在10条范围内，否则将计0分处理，并保留追究法律责任的权利，漏洞危害级别根据漏洞影响而定，即同一个类型的漏洞其危害等级不一样，会根据其实际影响而决定，请仔细阅读《BSRC用户协议》及漏洞测试规范（详见BSRC公告），以避免由此带来的风险。

注：本次奖励安全币会在后台发放，不影响月榜单排名。

除百度众测相关漏洞不与翻倍活动同享外

（【百度众测】专项活动结束后即可参与叠加，点击查看详情）

参与百度大学生网络安全技能大赛及其余均可享受四项活动奖励叠加！

如此大力度的超级回馈

真正的错过再等一年哦~