活动|来了来了,BKSRC三月继续宠你~~~

百家 作者:贝壳安全应急响应中心 2023-03-19 20:56:43

点击蓝字 关注我们

BKSRC二月活动圆满收官

一周之内我们受到了许多白帽子的支持

帮助我们提升了业务和产品的安全性


所以

我们做了一个决定


活动又双叒叕来啦

三月继续冲冲冲


活动时间:

2023年3月20日10:00——2023年3月26日24:00


额外奖励奖金池:

70000元


收集范围


一、漏洞

1、范围(以下条件均需满足)

1) 域名范围:*.ke.com、*.lianjia.com、*.ehomepay.com.cn、*.bkjk.com 、*.insers.cn、*.jiajiapay.com  中贝壳找房直接发布的产品及服务


2) 漏洞类型:可直接获取个人/公司敏感信息泄露的未授权访问、越权、遍历、碰撞漏洞


3) 敏感信息范围:

① 姓名/手机号/身份证号/物业地址/银行卡号之间的组合

② 城市非公开的成交信息(如成交合同、非公开城市成交价、佣金等)

③ 在售房源未公开的物业地址信息(精确到门牌号)

④ 集团员工姓名+手机号+组织架构信息(可批量获取)

⑤ 公司财税数据(如薪资报表、税务申报/缴纳数据)

⑥ 其他由贝壳src审核小组判定符合收取标准的信息


2、奖励标准

1)符合敏感信息范围中①—⑤且可批量获取50条以上获取敏感信息(注:测试规范白帽只可验证10条,批量情况由贝壳审核验证),将获得1.5倍积分奖励


2) 其余场景将获得1.2倍积分奖励

二、情报

1、范围(以下两类情报二选一)

①能爬取非外网公开敏感数据的爬虫软件,白帽需要提供软件下载包,包含软件截图及泄露的详细信息截图,由贝壳审核进行审核验证通过后发放相关奖励


②能号称获取贝壳的房源精准信息、客户敏感信息的第三方软件,包含软件截图及泄露的详细信息截图,由贝壳审核进行审核验证通过后发放相关奖励


2、奖励标准:

高风险奖励400积分、低风险奖励100积分,活动1.5倍积分奖励


提交规则


1、提交漏洞/情报时标题请标注【三月活动】字样,如未标注,则按BKSRC日常漏洞收录规则进行相关审核,奖励标准适用日常奖励标准

2、提交地址:https://security.ke.com

3、额外奖励奖金池发放完后默认按照BKSRC日常漏洞收录规则进行相关审核,奖励标准适用日常奖励标准

4、所有活动额外积分于每个阶段活动结束后统一发放

5、本活动最终解释权归BKSRC所有,如有疑问,请联系运营


注意事项

1、禁止使用扫描器、压力测试等高并发程序扫描、攻击测试对象

2、测试完毕后,如有对账号的修改操作,请务必恢复,如:删除自己添加的测试数据等

3、测试命令执行、数据库注入、webshell上传、供应链攻击等可直接威胁集团内网及数据库安全的漏洞或情报,发现问题后需周知贝壳SRC,经授权后才能进行横向移动,未经授权禁止植入后门或者对内网其他主机进行测试;

4、恶意拖取数据、下载源码等越界行为,漏洞均0分处理,且贝壳找房有权利报案、举报、并配合刑事侦查机关提供相应证据;

5、参与测试的同学,需要遵守保密协定,勿将页面截图、功能模块详情等外传泄露;

6、测试SQL注入类漏洞时,应采取手工注入,且获取的数据量不能超过10组;

7、测试命令执行漏洞时,证明漏洞即可,禁止植入文件或者对内网其他主机进行扫描测试;

8、获取网站的权限时,禁止修改代码文件或植入后门等操作;

9、在漏洞测试过程中,须遵守BKSRC白帽测试规范,详情参见:https://security.ke.com/notices/details?id=15。

\ | /





福利时间


关注本公众号+转发本文至朋友圈,并截图发至本公众号(分组/开奖前删除无效),截止至3月21日中午12点将随机抽取2名幸运鹅分别送出贝壳闹海抱枕一个!

贝壳安全应急响应中心


关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接