SRC升级 | 这一切的故事，还要从一份调查问卷说起……

还记得2019年9月，你曾填写过一份“关于美团SRC”的调查问卷吗？当时，有些白帽子在问卷中，说了一些自己在使用SRC网站时的想法，比如：

“提交漏洞补充信息时不能加图片，沟通起来真的很麻烦！”

“每次兑换都要输银行卡号、收件地址，能智能化一些吗？”

“没有活动的日子里，提漏洞都没有动力，日常奖励能再多点吗？”

……

针对以上吐槽，也许你提交完问卷后就忘了……但事实上，听了你们的真心话后，近半年时间里，我们一直在偷偷地做一件大事！继去年10月底，美团SRC发布了全新的 SRC logo之后，从今天起，SRC网站也升级改版了！

以下几个【关键词】，为你解读这一次美团SRC升级更新，到底改了些啥？

以集团的美团黄为主基调，我们的SRC网站变得”更好看”了，页面整体更加简洁、美观，希望能给大家带来更好的视觉体验。

当然，好看的皮囊只是基本，根据调查问卷得到的反馈意见，新版SRC也增加了有趣的灵魂，优化了一些使用不佳的功能与细节，比如：

提交漏洞

支持复制粘贴图片、留言评论支持图片及附件上传，提升大家跟审核同学的沟通效率，加快漏洞审核速度。

兑换礼品/现金

支持银行卡、地址信息管理，每次兑换都可勾选常用银行卡或地址，不再需要重复输入。

查看荣誉榜单

新增团队榜单，告别以往人工统计团队贡献值的繁琐，榜单一看便知。同时，个人、团队榜单均新增了季度榜，更便于计算季度奖励。

更多的优化细节不在这里一一陈述，我们期待大家能在实际使用过程中感受到我们的用意。当然，如果大家在使用中认为有更好的优化建议，欢迎大家继续向我们反馈哦~

在SRC没有活动的日子，如何为辛勤提交漏洞的白帽们创造更多拿额外奖励的机会，是此次改版中一个重要的议题。而以下三个奖励政策，正是我们为各位交上的答卷。

首杀漏洞奖励

如何在没有活动的日子里，也能感受到奖励翻倍的快乐呢？美团SRC新增【首杀漏洞】这一全新功能，可以给你答案。

什么是首杀漏洞呢？

首杀漏洞就是你每周提交的第一个有效漏洞。

首杀漏洞的奖励规则是怎样的？

当首杀漏洞为严重/高危，该漏洞奖励上浮100%

当首杀漏洞为中危/低危，该漏洞奖励上浮20%

只要你每周都成功提交一个有效漏洞，那么你每周都可享受到丰厚的漏洞额外奖励，周周有惊喜，如同每周都有一个翻倍小活动！

漏洞报告质量奖励

为了让白帽子提交的每一个漏洞发挥最大的价值，同时提升漏洞报告的整体质量，美团SRC新增了【漏洞报告质量奖励】。

我们将对你提交的漏洞报告进行质量评估，高质量报告将获得额外奖励，根据漏洞等级的不同，报告质量奖励额度也不同，奖金在50-5000元不等。

动动小手，认认真真写一份漏洞报告就可以拿奖励，这可真是太OMG了！

漏洞基础奖励升级

不仅仅是设立了以上两个特别的奖励政策，与此同时，我们还对漏洞的基础奖励标准进行了升级。

单个漏洞的基础奖励最高涨幅竟可达到100%，让每一位白帽的努力，都能得到最大程度的回报！

新奖励标准表格

?

更更惊喜的是，美团SRC还新增了重大安全事件的高额单独奖励、提高了核心严重漏洞的高额单独奖励等等，只为给你带来更多惊喜与回报。

更多奖励标准详情

?

标准升级 | 10w起步，上不封顶的奖金政策是真香啊！

活动时间

3月3日10:00-3月13日24:00

专测活动范围

Web：

https://e.meituan.com/meishi/

https://m.dianping.com/node/card/html/timecard/index.html?productId=12726998&shopId=90113074

https://g.dianping.com/app/babyfe-app-baby-im/index.html?toUid=sl8ml1nYkq91NUG70&clientType=100200&chatType=0

App：

开店宝

开店宝测试账号

Account：kdbtheone

Password：f6zx3qc

Account：kdbtopthree

Password：f6zx3qc

活动奖励

1、凡属于以上专测范围内的有效漏洞三倍安全币奖励；

2、凡属：命令执行、数据库注入、webshell上传、供应链攻击等可直接威胁集团内网及数据库安全的漏洞或情报，并定级为高危及严重，可获得三倍安全币奖励；

3、其他属于美团的有效漏洞&情报，可获得二倍安全币奖励。

注意事项

1.专测任务，请避开业务操作高峰期（工作日 09:00 - 18:00），避免影响真实用户的正常使用；

2.测试账号不得绑定个人手机号/微信、不得擅自修改账号密码；

3.参与测试的同学，需要遵守保密协定，勿将页面截图、功能模块详情等外传泄露；

4.测试SQL注入类漏洞时，应采取手工注入，且获取的数据量不能超过10组；

5.测试命令执行漏洞时，证明漏洞即可，禁止植入文件或者对内网其他主机进行扫描测试；

6.获取网站的权限时，禁止修改代码文件或植入后门等操作；

7.对可能损害业务正常运行的行为，禁止使用自动化测试，比如删除、变更、插入数据等；

8.须知：单个系统只收取前三个相同类型的漏洞。

风险规避

1.测试过程不得损害业务正常运行。不得以测试漏洞为借口，利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为；

2.禁止盗用或借用管理账号、内部账号进行测试；

3.禁止进行内网渗透行为，如内网扫描、主机提权的行为；

4.禁止进行网络拒绝服务（DoS 或DDoS）测试；

5.严禁下载源代码。若在不知情情况下下载，应及时告知厂商并删除；

6.测试短信炸弹漏洞时，请填写自己的手机号，严禁对其他用户号码进行轰炸测试；

7.测试SQL注入、越权读取数据类漏洞时，应采取手工注入，且获取的数据量不能超过10组；

8.禁止进行物理测试、社会工程学测试或任何其他非技术漏洞测试；

9.测试验证越权增删查改时，请自行注册两个测试账号进行测试。务必控制测试范围，不得危害系统正常数据；

10.我们反对和谴责一切以漏洞测试为借口，利用安全漏洞进行破坏、损害美团点评系统及用户的利益的攻击行为，我们保留追究法律责任的权利。

///////

初春已来，一切都将迎接全新的开始，美团SRC如此，希望各位白帽子亦是！愿未来的日子里，我们能继续携手同行，用热血守卫一方净土，努力让自己变得越来越好的同时，拥抱春暖，静等花开！

漏洞提交

美团SRC：security.meituan.com

抓到漏洞，押解至此

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/