二．活动时间：

2020年12月8日~2021年1月7日

三．活动奖励

1、以漏洞实际等级为基本依据，根据报告质量和漏洞类型有浮动。

本次活动仅奖励金币，不奖励rank积分，不算排名。

1）严重漏洞奖励基准：6000￥

2）高危漏洞奖励基准：3000￥

3）中危漏洞奖励基准：800￥

2、凡提交有效漏洞者，均赠送到家精选3小时保洁卡。

四．漏洞提交说明

1、漏洞提交地址：58SRC官网（https://security.58.com）；

2、提交名称格式为（众测4-漏洞名称）, 如提交漏洞格式不符合，此漏洞将不参与众测奖励。不在众测范围内的漏洞请勿添加众测标题。

3、本次定向测试所提交的漏洞不参与月度、季度奖励评比；并且，不与其他活动奖励同享。

4、本次有效的测试范围在个人中心-认证管理-个人认证和企业认证。 

5、58SRC对本次活动相关规则保留最终解释权。

五. SRC认证众测规则

1、测试目标：发现已经存在或潜在的如下类型漏洞、风险或情报。

       （1）身份信息不一致，可认证成功；

       （2）绕过正常程序流程，可认证成功；

       （3）个人认证、企业认证、敏感数据泄露； 

       （4）能够或已经实施前所述行为的黑产情报、黑产工具/代码。

2、漏洞有效性认定：完全满足下列任意1条，即可认定为有效漏洞、风险、情报或攻击。如果存在单条漏洞、风险、情报或攻击符合多条标准的，按定级较高的进行认定。

（1）身份信息不一致，可认证成功：

（2）绕过正常程序流程，可认证成功：

（3）个人认证、企业认证、敏感数据泄露：

1. 要求泄露来源为58相关站点内；

        1）包括但不仅限于人脸认证、银行卡实名、手持身份数据泄露；

         2）包括但不仅限于营业执照法人、对公账号、营业执照数据泄露；

2. 较为模糊、有水印、去水印、P图、不可再次使用的营业执照或证件图片，不属于泄露范畴。

（4）其他黑产威胁情报、黑产工具： 

       1）有效情报形式：           

           a.提供黑产已进行了前述问题相关攻击的情报，如用于自动过认证的工具、网站、接口、数据库等；         

           b.提供具体可以实施前述问题相关攻击的黑产工具、售卖工具的网站、售卖工具的qq或微信联系人等；   

       2）有效情报认定情报本身需满足前述对应类型报告的审核要求；   

       3）奖励倾斜        

            a. 若白帽子没有进行有效的情报/工具分析，亦没有其他协助处置的行为，报告奖励将按对应类型及等级的奖励*0.9发放；         

            b.若白帽子主动进行了情报/工具分析，且达到“还原了攻击原理、漏洞原理“程度的，将给与奖励金额*1.1至1.3的奖励倾斜；  

       4）提交报告内容         

            a.对应问题类型的报告内容；         

            b.其他有效的协助处理、分析的内容（非必要）

六．定级与奖励标准

除非另有说明，一般一份报告只能收到一次性金币奖励，目前所有类型的问题统一按定级给与金币奖励，审核人员有权根据实际情况提升定级和奖励标准，部分问题类型仅接受部分级别的问题报告，具体请参看下表，若有不明之处，请及时联系运营。