酷应用

只定级、不评分！专项众测第六期，单个漏洞奖励3万元！

百家作者：百度安全应急响应中心 2020-05-08 19:17:53

一、测试范围说明

二、测试注意事项

1. 禁止使用扫描器、压力测试等高并发程序扫描、攻击测试对象。

2. 尽量避开业务高峰期进行测试，高峰期时间段18：00~23：30。

3. 白帽子根据漏洞对业务的危害进行客观等级自评，且不在众测范围内的漏洞不要添加众测标题。

4. 在漏洞测试过程中，须遵守渗透测试原则，严格遵守《网络安全法》的规定，对于上传webshell、恶意拖取数据、下载源码等越界行为，漏洞均0分处理，且百度有权利报案、举报、并配合刑事侦查机关提供相应证据。

5. 为了保护百度产品及业务的安全，降低用户安全风险，百度鼓励负责任地漏洞披露行为，若白帽子将未脱敏的漏洞报告向外部发布，或在漏洞未修复时向外界发布，BSRC将直接取消漏洞奖励。

6. 测试过程中不得获取数据，如确有必要，不得超过10条；如利用漏洞能够直接获得数据库写入权限，直接写入的数据条数不得超过2条；严禁大规模遍历数据的行为。

7. 白帽子在渗透测试中应遵守《SRC行业安全测试规范》https://bsrc.baidu.com/views/main/announce.html#detail/127

三．奖励机制

1.本次众测漏洞评级按照《百度安全应急响应中心漏洞奖励细节V5.0》（以下简称“V5.0”）为标准，根据漏洞危害程度将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【忽略】五个级别，根据审核的定级发放对应级别的奖金。

严重漏洞：现金奖励税后30,000元

高危漏洞：现金奖励税后12,000元

中危漏洞：现金奖励税后2,500元

低危漏洞：现金奖励税后500元

Ps: 本次众测活动的漏洞的评分会按照V5.0中核心业务线对应的各漏洞等级最高安全币给分，评分只做BSRC年度榜单排名计分处理，实际奖金发放以上方奖励规则为准，将于后台补发，发放方式统一以BSRC安全币形式（1安全币=5RMB）；

2.本次众测活动，可同时参与BSRC月度高质量漏洞、个人／团队TOP3现金奖励评选；

3.专项众测活动加成奖励，BSRC内邀白帽以及曾在专项众测活动中提交有效中危漏洞>2个的白帽，参与后续系列众测提交有效中危及以上漏洞，将享受最高35%的额外加成奖励。

例：白帽A本期众测提交2个高危漏洞，那么他将获得中危以上漏洞额外奖励5%，即24000+1200=25200元现金奖励；如连续四期参与众测且满足加成条件，那么他将获得中危以上漏洞额外奖励35%，以提交2个高危为例，即可获得24000+8400=32400元现金奖励；

四．活动时间

测试时间：2020年5月8日—5月22日

五．漏洞提交相关说明

专项众测第六期分6-1与6-2两个系列，提交漏洞时，漏洞标题请注明【百度众测6-1】+漏洞名称，如【百度众测6-1】+ 某业务线一处XX漏洞。如提交漏洞未注明本次活动，此漏洞将不参与众测奖励，只享受常规安全币奖励。不在众测范围内的漏洞不要添加众测标题。

六．测试账号使用说明

1.由于业务系统部分功能需要具备相应的权限才能够访问，白帽子可以自主注册账号，并填写真实注册信息，申请开通相应功能。

2.同时，我们也将提供部分测试账号（其中1、2站点账号通用），但测试账号数量及测试时间有限，所以无法提供给所有白帽子使用，收到测试账号的白帽子请在有效期内进行集中测试，每个测试账号有效期3天，过期账号将失效；未收到测试账号的白帽子可联系工作人员竹子进行申请，每次申请账号有效期3天。

3. 申请账号将优先派发于BSRCTOP白帽及于众测活动中提交过有效漏洞的白帽。

*专项众测6-2期将于近期开放，请大家继续关注~

百度安全应急响应中心

百度安全应急响应中心，简称BSRC，是百度致力于维护互联网健康生态环境，保障百度产品和业务线的信息安全，促进安全专家的合作与交流，而建立的漏洞收集以及应急响应平台。地址:https://bsrc.baidu.com

长按关注

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

*文章为作者独立观点，不代表爱尖刀立场

本文由百度安全应急响应中心发表，转载此文章须经作者同意，并请附上出处( 爱尖刀 )及本页链接。

原文链接 https://www.ijiandao.com/2b/baijia/362508.html

图库

关注网络尖刀微信公众号
随时掌握互联网精彩

赞助链接

百度热搜榜

排名热点搜索指数