酷应用

范围扩大,奖励依旧|专项众测6-2期,正式上线!

百家 作者:百度安全应急响应中心 2020-05-15 22:09:43

一、测试范围说明


   序号

业务系统名称

web域名

访问说明

1

创意中心

chuangyi.baidu.com

直接域名

2

慧合

join.baidu.com

直接域名

3

观星盘

cdp.baidu.com

直接域名

4

百度指数

index.baidu.com

insight.baidu.com

 

直接域名

5

百度统计

tongji.baidu.com

直接域名

6

移动统计

mtj.baidu.com

直接域名

7

基木鱼建站平台

wutong.baidu.com

直接域名

8

营销通平台

yingxiaotong.baidu.com

直接域名

9

C端-移动营销页

sjh.baidu.com

无法直接访问,需要访问百度广告落地页的域名,如

https://sjh.baidu.com/site/4006222120.com/58ceca57-da58-43fa-bdf2-c67beb0ce6f2

10

C端-咨询落地页

ada.baidu.com

无法直接访问,需要访问广告咨询的页面,如

https://ada.baidu.com/imlp/xyl?imid=6ffa4d6b6781bc2cf9bf16e921030634  

11

搜索推广业务端

fengchao.baidu.com

登录tuiguang.baidu.com访问

12

信息流推广业务端

feedads.baidu.com

登录tuiguang.baidu.com访问

需要账号权限

13

一站式首页

tuiguang.baidu.com

直接域名

14

UC账号

cas.baidu.com

登陆跳转
二、测试注意事项


1.   禁止使用扫描器、压力测试等高并发程序扫描、攻击测试对象。
2.   尽量避开业务高峰期进行测试,高峰期时间段18:00~23:30。
3.    白帽子根据漏洞对业务的危害进行客观等级自评,且不在众测范围内的漏洞不要添加众测标题。
4.    在漏洞测试过程中,须遵守渗透测试原则,严格遵守《网络安全法》的规定,对于上传webshell、恶意拖取数据、下载源码等越界行为,漏洞均0分处理,且百度有权利报案、举报、并配合刑事侦查机关提供相应证据。
5.    为了保护百度产品及业务的安全,降低用户安全风险,百度鼓励负责任地漏洞披露行为,若白帽子将未脱敏的漏洞报告向外部发布,或在漏洞未修复时向外界发布,BSRC将直接取消漏洞奖励。
6.   测试过程中不得获取数据,如确有必要,不得超过10条;如利用漏洞能够直接获得数据库写入权限,直接写入的数据条数不得超过2条;严禁大规模遍历数据的行为。
7.   白帽子在渗透测试中应遵守《SRC行业安全测试规范》https://bsrc.baidu.com/views/main/announce.html#detail/127

三.奖励机制


1.本次众测漏洞评级按照《百度安全应急响应中心漏洞奖励细节V5.0》(以下简称“V5.0”)为标准,根据漏洞危害程度将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【忽略】五个级别,根据审核的定级发放对应级别的奖金。


严重漏洞:现金奖励税后30,000元

高危漏洞:现金奖励税后12,000元

中危漏洞:现金奖励税后2,500元

低危漏洞:现金奖励税后500元


Ps: 本次众测活动的漏洞的评分会按照V5.0中核心业务线对应的各漏洞等级最高安全币给分,评分只做BSRC年度榜单排名计分处理,实际奖金发放以上方奖励规则为准,将于后台补发,发放方式统一以BSRC安全币形式(1安全币=5RMB);

2.本次众测活动,可同时参与BSRC月度高质量漏洞、个人/团队TOP3现金奖励评选;
3.6-2期专属,域名打卡额外奖励:参与专项众测的白帽满足打卡站点数及相应打卡要求后,即可获得相应额外奖励

4.专项众测活动加成奖励:BSRC内邀白帽以及曾在专项众测活动中提交有效中危漏洞>2个的白帽,参与后续系列众测提交有效中危及以上漏洞,将享受最高35%的额外加成奖励。

例:白帽A本期众测提交2个高危漏洞,那么他将获得中危以上漏洞额外奖励5%,即24000+1200=25200元现金奖励;如连续四期参与众测且满足加成条件,那么他将获得中危以上漏洞额外奖励35%,以提交2个高危为例,即可获得24000+8400=32400元现金奖励;


四.活动时间


测试时间:2020年5月15日—5月31日

 

五.漏洞提交相关说明


提交漏洞时,漏洞标题请注明【百度众测6-2】+漏洞名称,如【百度众测6-2】+ 某业务线一处XX漏洞。如提交漏洞未注明本次活动,此漏洞将不参与众测奖励,只享受常规安全币奖励。不在众测范围内的漏洞不要添加众测标题

 

六.测试账号使用说明


1.由于业务系统部分功能需要具备相应的权限才能够访问,白帽子可以自主注册账号,并填写真实注册信息,申请开通相应功能。

2.同时,我们也将提供部分测试账号,但测试账号数量及测试时间有限,所以无法提供给所有白帽子使用,收到测试账号的白帽子请在有效期内进行集中测试,每个测试账号有效期三天,过期账号将失效;未收到测试账号的白帽子可联系工作人员竹子进行申请,每次申请账号有效期三天。

3. 账号将优先派发于BSRCTOP白帽及于众测活动中提交过有效漏洞的白帽。

*专项众测6-1期正在火热进行中,点击阅读原文查看活动详情~


百度安全应急响应中心


百度安全应急响应中心,简称BSRC,是百度致力于维护互联网健康生态环境,保障百度产品和业务线的信息安全,促进安全专家的合作与交流,而建立的漏洞收集以及应急响应平台。地址:https://bsrc.baidu.com

长按关注

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

*文章为作者独立观点,不代表 爱尖刀 立场
本文由 百度安全应急响应中心发表,转载此文章须经作者同意,并请附上出处( 爱尖刀 )及本页链接。
原文链接 https://www.ijiandao.com/2b/baijia/363723.html
图库
百度安全应急响应中心 百度安全应急响应中心
公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接
百度热搜榜
排名 热点 搜索指数
iTrust
AiDeep Ued
关于我们 联系我们 升级日志 法律声明 广告服务 侵删通道
Copyright © 2021 K2CMS All rights reserved.
京ICP备14006288号