这是一条提醒你一夜暴富的推文
(先来复习一下)
喜迎DEF CON CHINA盛大开幕
值此顶级极客大会举办之际
我谨代表BSRC为各位白帽表哥献上一条
可以一夜暴富的小道消息
作为BCTF众测彩蛋之一,BSRC众测活动火热开启!
5.8-5.12,提交漏洞安全币
翻倍翻倍翻N倍!!!
是时候展现真正的技术了!
活动时间:
2018年5月8日10:00-5月12日17:00
「早10:00—晚17:00为漏洞提交翻倍时间,
提交漏洞选择【BCTF众测彩蛋】
请您务必在规定活动时间内提交漏洞,否则将不计入翻倍奖励」
本次众测漏洞&情报接收范围:
百度所有相关业务高危、严重漏洞
百度业务相关黑产威胁情报
威胁情报收取说明:
威胁情报将根据完整性及其影响打分
鼓励涉及账号、核心业务技术、数据相关、用户隐私相关的黑灰产情报
鼓励提交尽量完整的情报信息,完整性基本信息参考5W 1H原则(Why What Who When Where How),即应说明何种人群在何时出于何种目的通过何种行为/业务进行谋取何种利益/危害行为
常见的无效威胁情报包括:
无有效信息的威胁情报
无法证实或伪造的威胁情报
BSRC已掌握的威胁情报
注意事项
测试验证数据应控制在10条范围内,否则将计0分处理,并保留追究法律责任的权利
漏洞危害级别根据漏洞影响而定,即同一个类型的漏洞其危害等级不一样,会根据其实际影响而决定
请仔细阅读《BSRC用户协议》,以避免由此带来的风险
说明:常见漏洞测试方法说明。活动期间,中危、低危漏洞BSRC照常接收
1.SSRF测试认定方法
如果可以访问到http://10.199.7.105/,第一行将输出一个40位的字符串作为flag,第二行为1024位的字符串
可获取到flag,认为是有回显的SSRF,请将此flag在提交漏洞时附上
可获取到flag及其后的1024位字符串,认为是完全回显SSRF。
不同的回显程度会对应不同的打分,同时请不要尝试访问其他内网站点,以免造成不必要的影响。
2.命令执行测试认定方法
可通过curl http://10.199.7.105/来证明可执行命令,无回显的情况下可在报告中说明,或联系我们确认。
3.SQL注入测试认定方法
SQL注入证明可获取数据即可,如获取当前库下的表名,或者由我们进行验证。
注意version()并不能证明获取数据的能力,同时请勿恶意获取数据(超过10条)
奖励规则
百度所有相关业务:高危漏洞4倍安全币、严重漏洞5倍安全币
优质威胁情报2000安全币起(优质威胁情报指在鼓励范围内完整度高具有较大影响的威胁情报)
注:本次奖励安全币会在后台发放,不影响月榜单排名
根据BSRC漏洞评分标准,以严重漏洞最高评分为例
发现百度业务相关严重漏洞最高奖励安全币1600枚
5倍奖励后,你将获得1600*5=8000安全币
也就是单个漏洞40000元的现金奖励!!
我说了一夜暴富,没毛病吧?
哦,差点忘记
此次众测我们将选出提交”一血“严重漏洞的白帽子
直通一年一度的BSRC美国游学之旅!BSRC白帽天团游学DEFCON|上演现实版“大话西游”
各位表哥,快来大展身手吧!
活动期间,BSRC会在DE FCON CHINA「BCTF」现场等你应战
现场参与众测的白帽表哥,还能与BSRC的审核童鞋面对面“深入”交流!
领取专属 10元无门槛券
私享最新 技术干货