活动|来了来了,BKSRC三月继续宠你~~~
点击蓝字 关注我们
BKSRC二月活动圆满收官
一周之内我们受到了许多白帽子的支持
帮助我们提升了业务和产品的安全性
所以
我们做了一个决定
活动又双叒叕来啦
三月继续冲冲冲
活动时间:
2023年3月20日10:00——2023年3月26日24:00
额外奖励奖金池:
70000元
收集范围
一、漏洞
1、范围(以下条件均需满足)
1) 域名范围:*.ke.com、*.lianjia.com、*.ehomepay.com.cn、*.bkjk.com 、*.insers.cn、*.jiajiapay.com 中贝壳找房直接发布的产品及服务。
2) 漏洞类型:可直接获取个人/公司敏感信息泄露的未授权访问、越权、遍历、碰撞漏洞
3) 敏感信息范围:
① 姓名/手机号/身份证号/物业地址/银行卡号之间的组合
② 城市非公开的成交信息(如成交合同、非公开城市成交价、佣金等)
③ 在售房源未公开的物业地址信息(精确到门牌号)
④ 集团员工姓名+手机号+组织架构信息(可批量获取)
⑤ 公司财税数据(如薪资报表、税务申报/缴纳数据)
⑥ 其他由贝壳src审核小组判定符合收取标准的信息
2、奖励标准
1)符合敏感信息范围中①—⑤且可批量获取50条以上获取敏感信息(注:测试规范白帽只可验证10条,批量情况由贝壳审核验证),将获得1.5倍积分奖励
2) 其余场景将获得1.2倍积分奖励
二、情报
1、范围(以下两类情报二选一)
①能爬取非外网公开敏感数据的爬虫软件,白帽需要提供软件下载包,包含软件截图及泄露的详细信息截图,由贝壳审核进行审核验证通过后发放相关奖励
②能号称获取贝壳的房源精准信息、客户敏感信息的第三方软件,包含软件截图及泄露的详细信息截图,由贝壳审核进行审核验证通过后发放相关奖励
2、奖励标准:
高风险奖励400积分、低风险奖励100积分,活动1.5倍积分奖励
提交规则
1、提交漏洞/情报时标题请标注【三月活动】字样,如未标注,则按BKSRC日常漏洞收录规则进行相关审核,奖励标准适用日常奖励标准
2、提交地址:https://security.ke.com
3、额外奖励奖金池发放完后默认按照BKSRC日常漏洞收录规则进行相关审核,奖励标准适用日常奖励标准
4、所有活动额外积分于每个阶段活动结束后统一发放
5、本活动最终解释权归BKSRC所有,如有疑问,请联系运营
注意事项
1、禁止使用扫描器、压力测试等高并发程序扫描、攻击测试对象
2、测试完毕后,如有对账号的修改操作,请务必恢复,如:删除自己添加的测试数据等
3、测试命令执行、数据库注入、webshell上传、供应链攻击等可直接威胁集团内网及数据库安全的漏洞或情报,发现问题后需周知贝壳SRC,经授权后才能进行横向移动,未经授权禁止植入后门或者对内网其他主机进行测试;
4、恶意拖取数据、下载源码等越界行为,漏洞均0分处理,且贝壳找房有权利报案、举报、并配合刑事侦查机关提供相应证据;
5、参与测试的同学,需要遵守保密协定,勿将页面截图、功能模块详情等外传泄露;
6、测试SQL注入类漏洞时,应采取手工注入,且获取的数据量不能超过10组;
7、测试命令执行漏洞时,证明漏洞即可,禁止植入文件或者对内网其他主机进行扫描测试;
8、获取网站的权限时,禁止修改代码文件或植入后门等操作;
9、在漏洞测试过程中,须遵守BKSRC白帽测试规范,详情参见:https://security.ke.com/notices/details?id=15。
\ | /
★
福利时间
关注本公众号+转发本文至朋友圈,并截图发至本公众号(分组/开奖前删除无效),截止至3月21日中午12点将随机抽取2名幸运鹅分别送出贝壳闹海抱枕一个!
贝壳安全应急响应中心
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- 1 奋力打开改革发展新天地 7949028
- 2 中方回应特朗普威胁收回巴拿马运河 7963626
- 3 刘强东提前发年终奖 7822233
- 4 “冷资源”里的“热经济” 7758200
- 5 全球约有1.9亿妇女为内异症患者 7618573
- 6 国足原主帅李铁已上诉 7588804
- 7 保时捷断臂求生 7412969
- 8 山姆代购在厕所分装蛋糕 7378117
- 9 喝水后有4种表现提示肾有问题 7275798
- 10 男子闪婚生女后发现妻子结过7次婚 7105479