百度“墨客”挑战邀请赛开启 10月百度Apollo专项众测正式招募

百家 作者:百度安全应急响应中心 2021-09-24 16:51:30
墨客出战,攻守兼备,百度安全打造的2021-2022年度安全众测活动——#百度“墨客”挑战邀请赛#已于金秋9月正式开启。
 
第一期,百度智能云专项众测,圆满结束!
 
第二期,百度Apollo专项众测,即将开启!
 

 
非攻,以兼爱止攻去乱,乃是东周战国墨家广为人知的代表性观点。但与此并行,墨翟的另一与之呼应的理念却常常为人所忽视。这,即是救守,讲求具体的备御之法与出诛之道。
 
关于救守,《墨子》第五篇《七患》曾曰,“备者,国之重也。”所谓有备无患,应对兵者诡道,构筑牢固的安全防御体系与展开贴近实战的攻防演练是其中的关键一环,这是#百度“墨客”挑战邀请赛#名称的由来,也是这次活动的目标所在——基于百度全域业务资产,邀请国内网络安全社区领先蓝军战队分阶段向红方防线发起“挑战”。明为墨攻,实为墨守,检验产品服务防护能力,推动安全体系持续进化,助力打造更为安全、稳健、清朗的网络生态。
 
作为一项旨在考验百度各大业务安全能力的大规模攻防演练,#百度“墨客”挑战邀请赛#的举办时间将从今年9月持续到明年年初。其中,第一期面向白帽的百度智能云专项众测已于9月17日圆满结束,针对百度Apollo的专项众测作为第二期活动,将于10月11日正式向白帽开启。
 
 
一、测试范围说明
 
Apollo相关业务
 
 
二、测试注意事项
 
1.禁止使用扫描器、压力测试等高并发程序扫描、攻击测试对象。
2.尽量避开业务高峰期进行测试,高峰期时间段18:00~23:30。
3.白帽子根据漏洞对业务的危害进行客观等级自评,且不在众测范围内的漏洞不要添加众测标题。
4.在漏洞测试过程中,须遵守渗透测试原则,严格遵守《网络安全法》的规定,对于上传webshell、恶意拖取数据、下载源码等越界行为,漏洞均0分处理,且百度有权利报案、举报、并配合刑事侦查机关提供相应证据。
5.为了保护百度产品及业务的安全,降低用户安全风险,不得将未公开漏洞提供给境外组织或者个人。
6.测试过程中不得获取数据,如确有必要,不得超过10条;如利用漏洞能够直接获得数据库写入权限,直接写入的数据条数不得超过2条;严禁大规模遍历数据的行为。
7.白帽子在渗透测试中应遵守《SRC行业安全测试规范》https://bsrc.baidu.com/views/main/announce.html#detail/127
 
 
三.奖励机制
 
1.本次众测漏洞评级按照《百度安全应急响应中心漏洞奖励细节V6.0》(以下简称“V6.0”)为标准,根据漏洞危害程度将漏洞等级分为【严重】、【高危】、【中危】、【低危】、【忽略】五个级别,活动结束后根据审核的评级发放对应的翻倍奖励。

严重漏洞:六倍安全币奖励
高危RCE漏洞:五倍安全币奖励
高危其他漏洞:四倍安全币奖励
中危漏洞:两倍安全币奖励
低危漏洞、忽略:无额外奖励

Ps: 本次众测活动,可同时参与BSRC月度高质量漏洞、个人/团队TOP3现金奖励评选;
 
 
四.活动时间
 
测试时间:2021年10月11日—10月29日
 
 
五.漏洞提交相关说明
 
提交漏洞时,漏洞标题请注明【Apollo】+漏洞名称,如【Apollo】+ 某业务线一处XX漏洞。如提交漏洞未注明本次活动,此漏洞将不参与众测奖励,只享受常规安全币奖励。不在众测范围内的漏洞不要添加众测标题。
 

百度安全应急响应中心


百度安全应急响应中心,简称BSRC,是百度致力于维护互联网健康生态环境,保障百度产品和业务线的信息安全,促进安全专家的合作与交流,而建立的漏洞收集以及应急响应平台。地址:https://bsrc.baidu.com

长按关注

*点击阅读原文即可提交漏洞

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接