酷应用

专项众测第九期，携百家号业务，马上开测！

百家作者：百度安全应急响应中心 2020-08-31 12:07:47

一、测试范围说明

1、 App应用

序号	业务系统名称	版本	下载说明
1	百家号APP 安卓版	>= 4.0.2	应用市场下载
2	百家号APP iOS版	>= 3.8.1	应用市场下载

2、Web接口

序号	业务系统名称	Web接口	访问说明
1	百家号web	https://baijiahao.baidu.com/	需要自行注册成为百家号作者

二、账号注册说明

此次百家号众测活动无测试账号，百家号账号需要白帽子自行注册，注册过程需要提供身份证等信息，且会经过人工审核，审核周期在1天内完成，如信息不正确将无法审核通过。

三、测试注意事项

1. 禁止使用扫描器、压力测试等高并发程序扫描、攻击测试对象。

2. 白帽子根据漏洞对业务的危害进行客观等级自评，且不在众测范围内的漏洞不要添加众测标题。

3. 在漏洞测试过程中，须遵守渗透测试原则，严格遵守《网络安全法》的规定，对于上传webshell、恶意拖取数据、下载源码等越界行为，漏洞均0分处理，且百度有权利报案、举报、并配合刑事侦查机关提供相应证据。

4. 为了保护百度产品及业务的安全，降低用户安全风险，百度鼓励负责任地漏洞披露行为，若白帽子将未脱敏的漏洞报告向外部发布，或在漏洞未修复时向外界发布，BSRC将直接取消漏洞奖励。

5. 测试过程中不得获取数据，如确有必要，不得超过10条；如利用漏洞能够直接获得数据库写入权限，直接写入的数据条数不得超过2条；严禁大规模遍历数据的行为。

6. 尽量避开业务高峰期进行测试，高峰期时间段18：00~23：30。

7. 白帽子在渗透测试中应遵守《SRC行业安全测试规范》https://bsrc.baidu.com/views/main/announce.html#detail/127

四、奖励机制

1. 本次众测漏洞评级按照《百度安全应急响应中心漏洞奖励细节V5.0》（以下简称“V5.0”），根据漏洞危害程度将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【忽略】五个级别。其中确认为严重级别的漏洞，单个漏洞现金奖励税后20,000元；高危漏洞奖励税后现金10000元，中危漏洞2000元，低危漏洞500元。

严重漏洞：现金奖励税后20,000元

高危漏洞：现金奖励税后10,000元

中危漏洞：现金奖励税后2,000元

低危漏洞：现金奖励税后500元

Ps: 本次众测活动的漏洞的评分会按照V5.0中核心业务线对应的各漏洞等级最高安全币给分，评分只做BSRC年度榜单排名计分处理，实际奖金发放以上方奖励规则为准，剩余奖励将于后台补发，发放方式统一以BSRC安全币形式（1安全币=5RMB）；

2.本次众测活动，可同时参与BSRC月度高质量漏洞、个人／团队TOP3现金奖励评选。

3.专项众测活动加成奖励，BSRC内邀白帽以及曾在专项众测活动中提交有效中危漏洞>2个的白帽，参与后续系列众测提交有效中危及以上漏洞，将享受最高35%的额外加成奖励。