酷应用

快上车，12天到手20万的众测活动终于又来了！

百家作者：百度安全应急响应中心 2021-03-02 18:35:06

最近的夜晚

大家都沉浸在被基金绿的悲伤

当有人聊起基金

低情商：你今天基金赚了多少

高情商：一起去BSRC挖洞补仓

为了让大家尽快回血

BSRC推出重磅翻倍活动

上一次的众测活动

榜一的师傅12天到手20W+

这一次就看你的了~

奖励规则

众测范围：百度全域

提交地址：https://bsrc.baidu.com

众测活动时间：2021.3.8 10:00-2021.3.19

众测活动奖励形式：

高危漏洞/情报：4倍安全币奖励

严重漏洞/情报：5倍安全币奖励

威胁情报：提交漏洞时请在漏洞类型处勾选【入侵事件安全情报】，有效情报即送百度周边礼品1份，每个ID限1份

除了丰厚的众测翻倍奖励

BSRC还有日常活动奖励计划

可与此次活动叠加

个人前三可获得5k、3k、1k的额外奖励

团队奖励最高获得当月安全币（翻倍前）总额

具体奖励规则可点此查看

漏洞评分标准及相关说明

漏洞评审处理流程参照【BSRC漏洞处理流程6.0版本】

活动期间，中危、低危漏洞BSRC照常接收；

常见漏洞测试方法说明：

1、SSRF测试认定方法

如果可以访问到http://10.199.7.105/，第一行将输出一个40位的字符串作为flag，第二行为1024位的字符串，可获取到flag，认为是有回显的SSRF，请将此flag在提交漏洞时附上。可获取到flag及其后的1024位字符串，认为是完全回显SSRF。?不同的回显程度会对应不同的打分，同时请不要尝试访问其他内网站点，以免造成不必要的影响。?

2、SQL注入测试认定方法

SQL注入证明可获取数据即可，证明能读取user()、database() 即可，或者由我们进行验证。?同时请勿恶意获取数据（超过20条）。

3、命令执行类漏洞验证方式：仅允许执行验证性命令（whoami/hostname/ifconfig/pwd），禁止其他恶意操作（如反弹shell、扫描内网等）

4、上传类漏洞验证方式：仅可上传php文件内容为phpinfo();或echo md5(“123456”)

注意事项

测试验证数据应控制在10条范围内，否则将计0分处理，并保留追究法律责任的权利，漏洞危害级别根据漏洞影响而定，即同一个类型的漏洞其危害等级不一样，会根据其实际影响而决定，请仔细阅读《BSRC用户协议》及漏洞测试规范（详见BSRC公告），以避免由此带来的风险。

注：本次奖励安全币会在后台发放，不影响月榜单排名

百度安全应急响应中心

百度安全应急响应中心，简称BSRC，是百度致力于维护互联网健康生态环境，保障百度产品和业务线的信息安全，促进安全专家的合作与交流，而建立的漏洞收集以及应急响应平台。地址:https://bsrc.baidu.com