酷应用

百度“墨客”挑战邀请赛开启 10月百度Apollo专项众测正式招募

百家作者：百度安全应急响应中心 2021-09-24 16:51:30

墨客出战，攻守兼备，百度安全打造的2021-2022年度安全众测活动——#百度“墨客”挑战邀请赛#已于金秋9月正式开启。

第一期，百度智能云专项众测，圆满结束！

第二期，百度Apollo专项众测，即将开启！

非攻，以兼爱止攻去乱，乃是东周战国墨家广为人知的代表性观点。但与此并行，墨翟的另一与之呼应的理念却常常为人所忽视。这，即是救守，讲求具体的备御之法与出诛之道。

关于救守，《墨子》第五篇《七患》曾曰，“备者，国之重也。”所谓有备无患，应对兵者诡道，构筑牢固的安全防御体系与展开贴近实战的攻防演练是其中的关键一环，这是#百度“墨客”挑战邀请赛#名称的由来，也是这次活动的目标所在——基于百度全域业务资产，邀请国内网络安全社区领先蓝军战队分阶段向红方防线发起“挑战”。明为墨攻，实为墨守，检验产品服务防护能力，推动安全体系持续进化，助力打造更为安全、稳健、清朗的网络生态。

作为一项旨在考验百度各大业务安全能力的大规模攻防演练，#百度“墨客”挑战邀请赛#的举办时间将从今年9月持续到明年年初。其中，第一期面向白帽的百度智能云专项众测已于9月17日圆满结束，针对百度Apollo的专项众测作为第二期活动，将于10月11日正式向白帽开启。

一、测试范围说明

Apollo相关业务

二、测试注意事项

1.禁止使用扫描器、压力测试等高并发程序扫描、攻击测试对象。

2.尽量避开业务高峰期进行测试，高峰期时间段18：00~23：30。

3.白帽子根据漏洞对业务的危害进行客观等级自评，且不在众测范围内的漏洞不要添加众测标题。

4.在漏洞测试过程中，须遵守渗透测试原则，严格遵守《网络安全法》的规定，对于上传webshell、恶意拖取数据、下载源码等越界行为，漏洞均0分处理，且百度有权利报案、举报、并配合刑事侦查机关提供相应证据。

5.为了保护百度产品及业务的安全，降低用户安全风险，不得将未公开漏洞提供给境外组织或者个人。

6.测试过程中不得获取数据，如确有必要，不得超过10条；如利用漏洞能够直接获得数据库写入权限，直接写入的数据条数不得超过2条；严禁大规模遍历数据的行为。

7.白帽子在渗透测试中应遵守《SRC行业安全测试规范》https://bsrc.baidu.com/views/main/announce.html#detail/127

三．奖励机制