活动正式开启|美团SRC邀您加入双11安全保卫战
2024-9-18 19:36:5 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

阿里巴巴联合蚂蚁、百度、贝壳、Boss直聘、
京东、快手、美团、OPPO、平安、
荣耀、微博、小米、字节跳动
组成双11安全联盟
公司排名不分先后
诚邀白帽战士参与
第八届双十一安全保卫战
为数亿用户的安全保驾护航

活动时间

整体活动时间
2024.9.19-2024.10.13
SRC特别奖励时间

活动规则&奖励

1、军衔奖励&升级规则
整体活动期间,向对应SRC提交活动范围内的报告,均计算军衔奖励
军衔奖励说明
1、穿双11T恤一起狂欢
所有获得军衔的白帽均可获得双11T恤礼包!
2、差旅全包参与颁奖典礼
双11颁奖典礼&阿里白帽大会将差旅全包邀请司令、军长、师长参加狂欢盛典。
3、超多权益的王牌A特权
司令、军长、师长,将获得直升王牌A-黑桃/红桃/方块权益,有效期半年,超多权益点击了解王牌A计划
4、仅1枚的定制纯金勋章
每年的双11安全保卫战仅有一人可以获得司令荣誉,司令将获得定制版刻有自己名字的纯金勋章一枚。
5、14家SRC安全高管致谢
司令称号只授予第一个到达军衔要求的白帽战士,14家SRC的安全高管将联合录制一段致谢视频,共同为你发声,告诉全世界你的优秀!!!
⚡️2017年双11安全保卫战司令:张飞
⚡️2018年双11安全保卫战司令:带头老哥
⚡️2019&2020年双11安全保卫战司令:whoamiii
⚡️2021年双11安全保卫战司令:Seven7
点击司令ID可看各家SRC高管为司令录制的专属点赞视频
温馨提示
  • 活动期间,获得军衔的名单将会每周公布在活动官方钉钉群中。为方便统计军衔名单,请参与活动的报名,在活动期间,在各家SRC中使用相同昵称。
  • 司令仅1人可以获得,即最先达到司令军衔要求的白帽战士。
  • 整体活动期间,向对应SRC提交活动范围内的报告均正常计算军衔奖励,大家记得确认好各家的活动范围。
2、安全团队奖励
1累计提交高危严重报告数量TOP3团队
  • 团队专属定制奖牌
  • 团队队长或代表差旅全包受邀参加白帽大会
  • 团队奖金:
    • 第一名 10000元
    • 第二名 8000元
    • 第三名 5000元
2)累计获得军衔数量TOP3团队
  • 团队专属定制奖牌
  • 团队队长或代表差旅全包受邀参加白帽大会
  • 团队奖金:
    • 第一名 10000元
    • 第二名 8000元
    • 第三名 5000元

14家SRC特别奖励

(最终活动奖励规则以各家SRC发布的为准)
提交漏洞时请在标题处备注【双十一】
请重点关注各SRC各自特别活动时间
美团
活动时间:9.19-9.30
活动范围:
美团全业务均可测试,建议重点关注电商业务,范围为美团APP-电商板块、团好货微信小程序、团好货APP。
奖励规则:
1、漏洞翻倍活动:
活动期间有效中危及以上漏洞2倍奖励。
有效电商业务漏洞严重高危漏洞≥3个,额外获得5000元奖励。
2、新人活动:
2024年未提交有效漏洞的白帽子,在活动期间提交有效中危及以上漏洞,将获得团团公仔(25cm)一个。
温馨提示:
本次活动不与其他活动叠加,提交漏洞时漏洞标题需注明【双十一】,若无则视为不参加本次活动。
阿里
奖励规则:
1、各业务线特别活动规则
阿里云
活动时间:9.19 10:00-9.30
奖励形式:所有有效报告双倍奖励
活动范围:
阿里云产品:https://yundun.console.aliyun.com/?p=xznew#/taskmanagement/tasks/detail/153 中关键资产、核心资产、一般资产(超级资产不参与双倍奖励)下的所有云产品;
阿里云站点:https://yundun.console.aliyun.com/?p=xznew#/taskmanagement/tasks/detail/152 中所有阿里云的有效站点,限以下域名:
*.aliyun.com
*.alibabacloud.com
  • 不包括使用了阿里云域名,但实际为非阿里云的业务,包括但不限于:Modelscope、阿里云邮、阿里云盘、Dataphin、BI、QuickBI、达摩院等,未能一一列出,以实际审核结果为准。
  • 不包括阿里云售卖类、升降配类问题。
特别彩蛋:
阿里云专项活动10月8日发布,敬请期待。
淘天、阿里妈妈、淘宝买菜
活动时间:9.19 10:00-9.30
奖励形式:高危严重双倍及中低危业务风险双倍奖励
业务范围:
大淘宝(仅限淘宝、天猫、闲鱼)、阿里妈妈、B2C零售(仅限手机天猫、天猫国际、天猫超市),
以及上述业务中涉及到淘宝/天猫会员/卖家信息(招商/报价等)/批量遍历获取卖家信息的漏洞情报,包括:
  • 买家个人敏感信息泄漏,需要包含姓名、手机、邮箱、银行卡、地址、身份证至少四元组及以上;
  • 大批量遍历获取商家联系信息的漏洞,包括:商家姓名、手机、邮箱、地址等信息四元组及以上;
  • 淘天集团所有员工信息,需要包含组织架构和联系方式;
  • 涉及商品的漏洞:上下架商品、加购、加关注、加收藏功能的越权、Get型CSRF漏洞;
  • 涉及资金损失的漏洞:增加、篡改双十一营销活动并影响资金的越权、Get型CSRF漏洞
  • 可获取到关键会话凭据的XSS漏洞(不包括店铺、商品域相关XSS漏洞,此类漏洞不收)
  • 淘宝APP端内可给任意淘宝用户发消息、无感知添加任意淘宝用户为好友的漏洞
  • 淘宝APP端内可非法调用任意JSAPI的漏洞
  • AIGC应用相关的漏洞,包括不仅限于提示词注入、AI模型越狱、AI模型提取等特有安全风险或者XSS、SSRF、RCE等传统安全风险。
菜鸟
活动时间:10.8-10.18
奖励形式:高危严重双倍奖励
AE、ICBU、Lazada、盒马
活动时间:9.19 10:00-10.13
奖励形式:高危严重双倍奖励
灵犀
活动时间:10.1-10.13
奖励形式:高危严重双倍奖励
阿里健康
活动时间:9.19 10:00-9.30
奖励形式:高危严重双倍奖励
2、王牌A额外奖励
活动时间:9.19 10:00-10.13
王牌A-梅花,每个高危严重报告额外奖励由10%增加到30%
王牌A-方块,每个高危严重报告额外奖励由30%增加到50%
王牌A-红桃,每个高危严重报告额外奖励由50%增加到80%
王牌A-黑桃,每个高危严重报告额外奖励由100%增加到150%
温馨提示
  • 升级王牌A之后的每一个高危/严重报告享受王牌A专属加成奖励,该奖励直接发放至有效报告上
  • 活动无需报名,请在阿里云先知官网各业务提交报告,默认参加活动
  • 王牌A额外奖励适用于王牌A业务,可以与业务特别奖励叠加,非王牌A业务不参与该活动
3、王牌A升级/保级奖励
活动时间:9.19 10:00-10.13
活动期间升级/保级王牌A梅花,获得500元额外奖励
活动期间升级/保级王牌A方块,获得1000元额外奖励
活动期间升级/保级王牌A红桃,获得3000元额外奖励
活动期间升级/保级王牌A黑桃,获得6000元额外奖励
温馨提示
在活动期间升级或者保级成功,都可以获得额外奖励,该奖励需要额外联系先知运营春雪领取(钉钉号chunxuecc)
蚂蚁
活动时间:9.19-10.13
奖励规则:
1、感谢有你奖
有效安全漏洞、情报可获取感谢奖(蚂蚁SRC T恤/蚂蚁玩偶二选一)。
2、高质量奖:
有效高危严重漏洞双倍奖励。
有效安全情报可获取双倍奖励(需详细列出情报复现链路、情报影响、情报利用证明等详情,理论及猜测情报影响均无效,需为完整情报,不完整情报不参与额外奖励,隐私合规情报与内容风险情报不参与)。
3、额外奖:
有效高危严重漏洞积分排名(总分不低于800分)前三名再额外依次发放2万、1万、5000的奖励。(如遇排名分数相同,则按提交时间排名)。
黑灰产情报、业务情报等对蚂蚁业务有较大影响的有效高危严重情报可额外再获取1倍奖励。
百度
活动时间:10.1 10:00-10.13 19:00
活动范围:百度全域
奖励规则:
1、翻倍奖励:
确认为有效严重漏洞4倍安全币,高危漏洞3倍安全币奖励;
2、实物奖励:
活动期间,提交有效严重漏洞且总分排名前三白帽送「bose soundlink mini 音箱」,提交有效高危漏洞且总分排名前十白帽送「度熊键鼠套装」;

3、年度盛典:
活动期间,在BSRC提交漏洞总分最高的白帽直通2024BSRC年度盛典(差旅0自费)。
温馨提示:
提交漏洞时漏洞名称需注明【双十一】若无则视为不参加本次活动;针对产品深度测试,如RCE利用等,需提前走BSRC报备流程,报备入口:BSRC漏洞提交页面右下角。
最终解释权归BSRC所有
贝壳
活动时间:9.19-9.30
活动范围:
贝壳直接发布的所有产品和服务,其中包括但不限于:*.ke.com、*.lianjia.com、*.realsee.com、*.ehomepay.com.cn、*.bkjk.com
奖励规则:
1、多倍奖励活动期间有效漏洞1.5倍奖励
2、前10个有效高危漏洞提交人员,获得罗技键盘/鼠标套装一份(不叠加,奖品随机发,不可选)
温馨提示:
漏洞标题需备注【双11】哦
Boss直聘
活动时间:9.19-10.13
活动范围:
参照《漏洞处理流程和评分标准V1.5版》
BOSS 直聘的产品和业务,域名包括但不限于*.zhipin.com、*.dianzhangzhipin.com、*.bosszhipin.com、*offertoday.com、*themarryapp.com;服务器包括 BOSS直聘运营的服务器;产品包括BOSS直聘发布的网站、PC客户端、移动端、小程序等。
应用类型划分:
1) 核心应用:BOSS直聘、店长直聘相关业务;
2) 一般应用:而立、offertoday、BOSS管家相关业务;
3)其他应用:其他属于BOSS直聘公司的业务。
奖励规则:
1、安全币奖励:
核心/一般应用有效严重/高危 漏洞/情报 2倍 安全币;
核心/一般应用有效中危 漏洞/情报 1.5倍 安全币;
在此基础上:
① 核心/一般应用SQL注入类漏洞每个漏洞额外增加2000安全币;
② 核心/一般应用命令执行类漏洞每个漏洞额外增加2000安全币;
③ 核心应用-严重漏洞每个漏洞额外增加2000安全币(与第1、2条同享);
④ 核心应用-高危漏洞每个漏洞额外增加1000安全币(与第1、2条同享);
⑤ 一般应用-严重漏洞每个漏洞额外增加500安全币(与第1、2条同享);
⑥ 一般应用-高危漏洞每个漏洞额外增加300安全币(与第1、2条同享);
例如:直直同学在活动期间提交核心业务SQL注入漏洞,经判定为有效高危漏洞,价值2500安全币。因活动规则中高危漏洞2倍安全币、SQL注入类漏洞额外增加2000安全币、核心应用-高危漏洞每个漏洞额外增加1000安全币,直直同学可最终获得8000安全币。
2、额外奖励:
核心/一般应用提交严重/高危漏洞数量:
数量≥1:奖品 韶音OpenMove S661骨传导蓝牙耳机
数量≥2:奖品 MARSHALL EMBERTON III马歇尔无线蓝牙音响
数量≥3:奖品 佳能200D 二代单反照相机(18-55mm)镜头套机官方标配
数量≥10:奖品 联想YOGA Book 9i笔记本 13.3英寸双屏触控/i7-1355U/16G/1T/集显/2.8K OLED屏/雾海蓝
以上奖励不可叠加!
例如:直直同学在活动期间提交一般应用10个漏洞,经判定均为有效高危漏洞,除了“a.安全币奖励”中漏洞对应的安全币外,还可带走联想YOGA Book 9i笔记本一项奖品。
3、参与奖:

活动期间,提交有效漏洞即可获得乐扣乐扣水杯(颜色随机)

京东
活动时间:9.19-10.13
活动范围:京东所有业务
奖励规则:
1、双倍奖励:
高危及以上有效漏洞获得双倍奖励
2、高危新人有礼:
活动期间新人提交首个有效高危可额外获得1000元现金奖励及倍轻松猫爪按摩仪一个
ps:本次活动前未提交过有效高危严重漏洞白帽即视为高危新人。

3、集齐四个业务高危有礼:
活动期间京东零售、京东科技、京东健康、京东物流每个资产提交一个有效高危漏洞,即可获得迪士尼K歌音响音箱套装一个,数量有限先到先得,按照最后一个有效高危提交时间。

4、TOP高危贡献奖励
活动期间提交有效严重、高危漏洞积分(积分≥2000)
TOP1:5000元
TOP2:3000元
TOP3:1000元
温馨提示:
1、本次活动不与其他活动叠加,提交漏洞标题需添加【JSRC双十一】,若无则视为不参加本次活动;
2、基础奖励以积分形式发放,额外奖励活动结束后统一发放现金;
3、请严格遵守测试规范。
快手
活动时间:9.19-10.13
活动范围:
核心业务:
快手APP、快手极速版APP、快手电商(kwaixiaodian.com)、商业化(e.kuaishou.com)
其他业务:
「国内」 *kuaishou.cn、快影、一甜相机、快手直播伴侣、轻雀协作、回森
「国际」 Kwai
奖励规则:
1、翻倍奖励:
核心业务严重/高危漏洞3倍奖励,其余漏洞2倍奖励。
2、新人奖励:
新人白帽提交有效漏洞,可获得双倍卡奖励和卫衣一件。

3、数量奖励:
有效漏洞数量大于等于5个,可获得额外2K元奖励。
有效漏洞数量大于等于5个,且至少有2个严重/高危漏洞,可获得额外5K元奖励。
温馨提示:
(1)平台其他活动不同享,隐私漏洞、情报不参与活动。
(2)双倍卡使用规则:可在平台非活动期间使用,在报告标题进行备注。
OPPO
活动时间:10.1-10.13
奖励规则:
1、活动期间核心业务中危以上有效漏洞额外享有基础奖励的50%奖励(即1.5倍奖励)
2、活动期间提交有效核心业务高危严重漏洞数量2≤N<5,即可享受N*1000的额外奖励,数量N≥5,即可享受N*5000的额外奖励,多挖多得,不设上限
3、活动期间首次在OSRC提交有效漏洞的白帽可获得额外奖励加成,可以跟1.5倍奖励叠加(仅首个有效漏洞享有)

平安
活动时间:9.19-10.13
活动范围:寿险、产险、健康险、壹钱包、普惠、证券、壹账通、银行
奖励规则:
1、漏洞奖励:
活动期间,提交寿险、产险、健康险、壹钱包、普惠、证券、壹账通的漏洞可享受如下奖励:(具体活动范围见漏洞详情页介绍)
低危 100元
中危 1500元
高危 5000元
严重 12000元
2、通关奖励:
集齐7家BU漏洞,可获得高危漏洞(2倍)翻倍卡1张。
翻倍卡使用方式:
在漏洞原有奖励基础上翻2倍。
翻倍卡不可与其他奖励叠加。
每个用户限用一张翻倍卡,在2024年12月31日前使用。
荣耀
活动时间:9.19-10.13
活动范围:
《荣耀互联网服务安全奖励计划规则 V1.1》
https://security.honor.com/src/#/announcement/detail?code=345595866324262912340802164
《荣耀终端安全奖励计划规则》
https://security.honor.com/src/#/announcement/detail?code=1357192657478369281134761867
奖励规则:
翻倍奖励:活动期间确认为有效漏洞双倍金额奖励
温馨提示:
禁止使用扫描器对业务扫描
提交漏洞时漏洞名称需注明【双十一】若无则视为不参加本次活动
微博
活动时间:9.19-9.30
奖励规则:
1、翻倍奖励:
严重漏洞:3倍金币
高危漏洞:2倍金币
2、总贡献奖:

活动期间总贡献积分值排名前三名的白帽子,将分别获得额外奖励

第一名:3000元

第二名:2000元

第三名:1000元

3、新人奖励:

活动期间首次提交有效报告的新人白帽可获得微博龙年公仔一个

温馨提示:

提交漏洞时漏洞名称需注明【双十一】若无则视为不参加本次活动

小米
活动时间:10.1-10.13
奖励规则:
1、翻倍奖励:

提交有效中危安全漏洞可获得1.5倍贡献币奖励

提交1-3个有效高危/严重安全漏洞可获得2倍贡献币奖励

交4个及以上有效高危/严重安全漏洞可获得3倍贡献币奖励

2、叠加奖励:

提交有效高危及以上安全漏洞且贡献值排名前三白帽:送Redmi投影仪2Pro一台

提交有效高危及以上安全漏洞且贡献值排名前十白帽:送小米手环8Pro一个(不与上一条礼品叠加使用)

温馨提示:

1、提交漏洞时漏洞名称需注明【双十一】若无则视为不参加本次活动

2、边缘业务不参与本次活动

3、最终解释权归小米安全中心所有

字节
活动时间:9.19-10.13
奖励规则:
1、全线业务翻倍奖励:
严重、高危漏洞2倍
积分中危、低危漏洞1.5倍积分
2、新人有礼:
2024年未提交有效漏洞的白帽子,在活动期间提交任意有效漏洞,奖励虎鲸抱枕一个。

3、高校学生限时福利叠加:
9.22前报名参与ByteHACK高校挖洞挑战赛,可叠加享有福利:
提交任意有效漏洞奖励“日渐富有”桌垫一份。

温馨提示:
漏洞标题需备注【双11】;【双11】与【ByteHACK】奖励可叠加,ByteHACK需先报名,活动奖励及报名要求请扫码获取。

双十一安全保卫战报名方式
1、填写报名问卷
报名二维码(浏览器/钉钉扫描)
报名后即可申请加钉钉群
2、申请加入双11白帽战士钉钉群
活动唯一官方群,报名成功再申请进群,需备注报名时填写的昵称
此次活动的所有信息都将通过此群同步大家
填写完毕报名问卷后再加群
已在1/2/3/4/5/6群的小伙伴无需重复加群

活动唯一官方群
群号: 98405009305
或点击阅读原文申请进群
3、报名特别福利
  • 第1、11、21、31、41、51、61、71、81、91、101、111、151、201、251、301、351、401、451、501名提交报名的白帽同学,可以获得阿里云先知定制礼品一份
    工作人员会钉钉和你联系,获取邮寄地址
  • 获奖人员公示:礼品为中秋礼盒或阿里云手办一份,按地址获取顺序优先发货中秋礼盒

  • 报名福利第二波!第999、1000名、1001名、1100名、1101名、1200名、1201名、1201名提交报名的白帽同学,可以获得阿里云先知定制礼品一份(报名人数很接近了,还没报名的同学概率UP!)
温馨提示:
1、为方便军衔统计和发放奖励,仅在活动期间,请统一您在14家SRC中的昵称
2、群内超多福利等你(仅限钉钉群群友 )
  • 福利活动群内专享,奖励多多快来加入
  • 优秀白帽云集,互相学习一起进步
  • SRC工作人员,即时沟通交流答疑
  • 行业第一手招聘信息,我的工作我做主
以上内容仅在白帽战士钉钉群(活动唯一官方群)中进行,需报名成功再申请进群。
双十一安全保卫战
第八年
为数亿用户的安全保驾护航
双十一安全保卫战
等你加入
❤️

文章来源: https://mp.weixin.qq.com/s?__biz=MzI5MDc4MTM3Mg==&mid=2247493302&idx=1&sn=38e8eb7b46ba68d83932055efcf06386&chksm=ec180765db6f8e73f7e8e9039563065a99de826daeafcb49ee5b0231e48816907e306d43fe1c&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh