年底冲刺众测 BSRC狂爆金币!
2023.11.20 10:00-2023.12.3
BSRC全域上线众测活动
翻倍奖励叠加个数累计额外
团队作战冲击高额月度奖励
更有2023年年终奖规则发布
年底冲刺 奖金上不封顶
严重漏洞5倍安全币奖励
高危漏洞4倍安全币奖励
提交5个有效高危/严重漏洞
额外奖励8000元
提交10个有效高危/严重漏洞
额外奖励20000元
提交15个有效高危/严重漏洞
额外奖励30000元
- 个人月度TOP奖励 -
TOP1:5000RMB
TOP2:3000RMB
TOP3:1000RMB
要求个人月度积分超800分
且当月提交至少2个以上高危漏洞
- 团队月度TOP奖励 -
团队冲击最高月度奖励
可获得累计安全币总额
例如:月度某团队共10000分且满足“女娲补天”全部要求,团队奖励为50000元,按比例打给个人BSRC账号
积分统计周期:2023.1.1-2023.12.31
年终奖发放白帽:BSRC2023年总积分前十名
年终奖计算规则:
1、基础奖励:
【个人年度总积分*30%+(严重漏洞数量*1600分+高危数量*600分)*30%】*5=年终税后基础奖励;
2、排名奖励:
| 2023年度排名 | 税后额外奖励 |
| TOP1 | ¥50,000 |
| TOP2 | ¥30,000 |
| TOP3 | ¥20,000 |
| TOP4 | ¥15,000 |
| TOP5 | ¥15,000 |
| TOP6 | ¥10,000 |
| TOP7 | ¥10,000 |
| TOP8 | ¥10,000 |
| TOP9 | ¥10,000 |
| TOP10 | ¥10,000 |
3、高危个数奖励:
| 2023年有效高危/严重漏洞数量 | 税后额外奖励 |
| >50个 | ¥50,000 |
| >40个 | ¥40,000 |
| >30个 | ¥30,000 |
以上奖励均为税后奖励,最终年终奖为三部分总和相加
2023年内未提交有效漏洞的新白帽
在活动期间提交有效漏洞
可在BSRC官网1积分兑换度熊盲盒1个
每个ID限1次兑换 随机发货
常见漏洞测试方法说明:
1、SSRF测试认定方法
如果可以访问到http://10.199.7.105/,第一行将输出一个40位的字符串作为flag,第二行为1024位的字符串,可获取到flag,认为是有回显的SSRF,请将此flag在提交漏洞时附上。可获取到flag及其后的1024位字符串,认为是完全回显SSRF。 不同的回显程度会对应不同的打分,同时请不要尝试访问其他内网站点,以免造成不必要的影响。
2、SQL注入测试认定方法
SQL注入证明可获取数据即可,证明能读取user()、database() 即可,或者由我们进行验证。 同时请勿恶意获取数据(超过10条)。
3、命令执行类漏洞验证方式:仅允许执行验证性命令(whoami/hostname/ifconfig/pwd),禁止其他恶意操作(如反弹shell、扫描内网等)
4、上传类漏洞验证方式:仅可上传php文件内容为phpinfo();或echo md5(“123456”)
注意事项:
1、测试验证数据应控制在10条范围内,否则将计0分处理,并保留追究法律责任的权利,漏洞危害级别根据漏洞影响而定,即同一个类型的漏洞其危害等级不一样,会根据其实际影响而决定,请仔细阅读《BSRC用户协议》及漏洞测试规范(详见BSRC公告),以避免由此带来的风险。
2、报告提交请注意内容规范,情报按照5W1H原则提交,漏洞提交需包含漏洞链接、复现步骤等必要因素。
3、翻倍奖励、额外奖励会在活动期间漏洞审核完成后统一发放。
百度安全应急响应中心
百度安全应急响应中心,简称BSRC,是百度致力于维护互联网健康生态环境,保障百度产品和业务线的信息安全,促进安全专家的合作与交流,而建立的漏洞收集以及应急响应平台。地址:https://bsrc.baidu.com
长按关注
如有侵权请联系:admin#unsafe.sh