探索未知,挑战自我,火线安全擂台赛正式拉开序幕🌟
这是一场技术的较量,一次智慧的碰撞。
无论是争夺擂台现金奖的荣耀,还是通过SRC打卡解锁奖励,亦或是作为新人享受特别奖励,这里都有你的舞台。
擂台争夺赛
活动时间:2024年10月1日 ~ 2024年10月31日
活动规则:
活动期间,提交【平台公开SRC项目】有效漏洞可作为擂台争夺赛排名积分,严重100/高危75/中危50/低危25
活动范围为【平台公开SRC项目】,私密项目不参与活动
漏洞标题备注【擂台赛】,未备注视为不参加擂台赛活动
奖励说明:
漏洞总贡献值排名前3名,且中高级别漏洞数量不少于5个的白帽子,可获得对应排名的擂台赛现金奖励
贡献值排名重叠时,以高危严重数量、总有效数量计先后
擂台打卡行动
活动时间:2024年10月1日 ~ 2024年10月31日
活动规则:
活动期间,提交【平台公开SRC项目】任意级别有效漏洞进行SRC打卡,根据打卡的【平台公开SRC项目】项目数量进行奖励
活动范围为【平台公开SRC项目】,私密项目不参与活动
漏洞标题备注【擂台赛】,未备注视为不参加擂台赛活动
奖励说明:
成功打卡2个SRC,获得秋天的第一杯奶茶
成功打卡3个SRC,获得温暖随行保温杯
成功打卡5个SRC,获得护腰必备坐垫
成功打卡所有SRC,获得抗击劳损筋膜枪
以上奖品不累加,每人最多获得一份礼品,礼品有限先到先得
打响人生第一洞
活动时间:2024年10月1日 ~ 2024年10月31日
活动规则:
仅限未在火线安全平台提交过有效漏洞的新白帽子参与,禁止小号提交否则取消擂台赛参与资格
活动范围为【平台公开SRC项目】,私密项目不参与活动
漏洞标题备注【擂台赛】,未备注视为不参加擂台赛活动
奖励说明:
成功提交1个任意级别有效漏洞,额外奖励查克拉积分50个
成功提交3个任意级别有效漏洞,获得随机SRC周边公仔1个 + 火线贴纸1个
成功提交5个任意级别有效漏洞,获得网络安全书籍1本 + 火线贴纸1个
完成对应有效漏洞要求可累加获得多份奖品,礼品有限先到先得
SRC特别奖励
(最终活动奖励规则以各家SRC发布的为准)
提交漏洞时请在标题处备注【擂台赛】
请重点关注各SRC各自特别活动时间
活动时间安排 | 全程(10月1日 ~ 10月31日):乐橙、KEEP |
第一阶段(10月1日 ~ 10月10日):阶跃星辰、领创智信 | |
第二阶段(10月11日 ~ 10月20日):稿定设计、水滴 | |
第三阶段(10月21日 ~ 10月31日):旷视、火线安全 |
乐橙SRC
活动时间:2024年10月1日 ~ 2024年10月31日
活动规则:
1. 全部漏洞奖金翻倍:提交任意级别有效漏洞均可获得双倍现金奖励:
2. 活动期间,提交高危及以上有效漏洞,可获得乐橙周边礼品和IOT产品
原有业务范围现金奖励 X 2
活动范围:
IOT设备安全漏洞:
1.核心业务
拉流、存储、配网、布防、三方连接(onvif、GB2818等)
2.一般业务
设备信息(名称、版本等)、夜视、云台、设备联动
3.边缘业务
图像效果、声光效果、算法效果
应用安全漏洞:
1. 核心业务
Web 应用:仅限以下平台:mall.imou.com、hg.imou.com、open.imou.com
App 应用:乐橙、乐橙含光、乐橙HD 中的核心业务
核心业务:实时预览、云录像、报警图片、设备管理、支付系统、乐橙账户系统
2.一般业务
Web 应用:www.imou.com
APP 应用:乐橙道、乐橙安装宝
3.边缘业务
其他核心业务、一般业务之外的资产,但能证明归属主体为杭州华橙网络科技有限公司正在使用和维护的资产。包括乐橙 APP、乐橙含光 APP、乐橙商城中的非核心业务。
提交地址:https://www.huoxian.cn/project/detail?pid=588
KEEP SRC
活动时间:2024年10月1日 ~ 2024年10月31日
活动规则:
1. 高危漏洞奖金翻倍:提交高危及以上级别有效漏洞可获得双倍现金奖励:
2. 活动期间,提交中危及以上有效漏洞,可获得任意网络安全书籍一本
原有业务范围现金奖励高危、严重漏洞X2
活动范围:
1. 核心业务系统:
*.gotokeep.com
*.keep.com
2. 非核心业务系统:
*dev.gotokeep.com
*pre.gotokeep.com
*.calorietech.com
*.keep.com.cn
*.keepcdn.com
*.keepkeep.com
*.keepcdns.com
注意:
1、在Keep所有资产中,如遇到域名为recloud.com.cn,jiaoyin.vip等域名,属于第三方站点,不收取该站点的漏洞,另外提交漏洞前也注意通过ICP查询该域名是否属于Keep
2、视频、课程泄露相关的问题以后会统一降级,看泄露课程重要程度和利用成本确定漏洞等级(低、中 )
提交地址:https://keep.huoxian.cn/
阶跃星辰
活动时间:2024年10月1日 ~ 2024年10月10日
活动规则:
中危及以上级别漏洞2倍RANK及查克拉积分奖励,可作为擂台争夺赛排名积分,
原有奖励:严重100/高危75/中危50/低危25
翻倍后奖励:严重200/高危150/中危100
项目现金奖励
活动范围:
*.maopaoya.com
*.stepchat.cn
*.stepfun.com
*.basemind.com
不接收以下资产的漏洞:
omnichat.stepfun.com
提交地址:https://step.huoxian.cn
领创智信
活动时间:2024年10月1日 ~ 2024年10月10日
活动规则:
中危及以上级别漏洞2倍RANK及查克拉积分奖励,可作为擂台争夺赛排名积分,
原有奖励:严重100/高危75/中危50/低危25
翻倍后奖励:严重200/高危150/中危100
项目现金奖励
活动范围:
https://i0x0fy4ibf.feishu.cn/base/Rt2Fb41XLahU6GszIi4cucD6nih
密码:Huoxian#2024#
注意事项:
爆破、短信等漏洞注意数量,禁止DoS等漏洞攻击
遍历数据不得超过10条
禁止测试日期:1.1/2.2/除夕/春节/2.14/3.3/3.27/4.4/5.5/6.6/7.7/8.8/9.9/10.10/11.11/12.12/黑色星期五/12.25
提交地址:https://advancegroup.huoxian.cn/
稿定设计
活动时间:2024年10月11日 ~ 2024年10月20日
活动规则:
中危及以上级别漏洞2倍RANK及查克拉积分奖励,可作为擂台争夺赛排名积分,
原有奖励:严重100/高危75/中危50/低危25
翻倍后奖励:严重200/高危150/中危100
项目现金奖励
活动范围:
核心业务
www.gaoding.com
qiye.gaoding.com
*.qiye.gaoding.com
huaban.com(仅包含官网域名)
api.huanban.com
一般业务
除核心业务的其它子域名(仅接收严重的漏洞,测试、用户量极少的子域名不收)
暂停接收资产范围:
1. crm.gaoding.com
2. git.gaoding.com
3. ke.huaban.com
4. sucai.gaoding.com
5. open.gaoding.com
6. focoslide.gaoding.com
7. *stage.gaoding.com
8. cowtransfer.com
9. dianshang.gaoding.com
以下漏洞暂不接收:
1. 上传sts token权限问题
2. 上传文件ssrf问题
3. 水印绕过问题
提交地址:https://www.huoxian.cn/project/detail?pid=647
水滴安全
活动时间:2024年10月11日 ~ 2024年10月20日
活动规则:
中危及以上级别漏洞2倍RANK及查克拉积分奖励,可作为擂台争夺赛排名积分,
原有奖励:严重100/高危75/中危50/低危25
翻倍后奖励:严重200/高危150/中危100
项目现金奖励
活动范围:
属于水滴公司及旗下所有开放在互联网的应用系统,包括但不限于:
*.sdbao.com
*.shuidichou.cn
*.shuidichou.com
*.shuidihuzhu.com
*.shuidihuzhu.cn
*.shuidigongyi.com
*.shuidigongyi.cn
*.shuidi-inc.com
*.shuiditech.com
*.shuidimiaoyi.com
*.shuidihealth.com
提交地址:https://www.huoxian.cn/project/detail?pid=489
旷视安全
活动时间:2024年10月21日 ~ 2024年10月31日
活动规则:
中危及以上级别漏洞2倍RANK及查克拉积分奖励,可作为擂台争夺赛排名积分,
原有奖励:严重100/高危75/中危50/低危25
翻倍后奖励:严重200/高危150/中危100
项目现金奖励
活动范围:
【核心业务】
www.faceid.com
api.faceid.com
www.megvii.com
cloud9.megvii.com
【普通业务】
.brainpp.cn
.megviirobotics.com
*.megvii-inc.com等其他除核心业务以外的其他业务线产品及域名
【一般业务】
.koalacam.net(不包括v3.koalacam.net)
.xlsdn.com等其他除核心业务以外的其他业务线产品及域名
注:vpn.megvii-inc.com不接收
注意事项:
1、不再接收p6sai.com域名下的资产,请师傅们提交前注意测试范围。2、暂停接收销售易相关资产、服务(xiaoshouyiservice.megvii-inc.com)漏洞,请师傅们提交前注意测试范围。
3、不再接收非旷视科技主体资产的漏洞(如子公司、存在投资关系的公司等),请师傅们提交前注意测试范围。
4、经与业务沟通不同IP、域名的相同类型产品类漏洞仅在第一次正常接收,资产不同但类型重复的后续根据漏洞实际危害降为中等或低危处理。
5、针对域名、IP不明确为旷视科技的,请谨慎做安全测试,我司仅能提供针对我司资产的测试授权,非我司资产(包括未部署在我司服务器的产品)我们无法提供授权,请白帽子关注相关风险。
6、针对产品类问题,后续我们计划逐步提供demo环境供测试,感谢大家的贡献,后续开放相关环境会更新在项目说明,也请大家多多帮忙发现问题。
7、经业务反馈及与业务沟通,因业务形态和已有内部风控逻辑作为兜底方案,薅羊毛和资源占用类问题实际危害非常有限。未来faceid、face++等公网saas服务的可能存在的相关问题无论系统属于任何范围一律按【一般系统】【低危漏洞】来收,请各位师傅知悉。(不影响标准更新前已经提交审核的漏洞奖励)
8、经与业务沟通,因客户项目众多,面临处理产品漏洞的压力,在此情况下我们决定对devops环境未授权访问例如 Grafana 未授权访问等情形,除非涉及敏感信息泄露,公司将不再对其进行逐一收取。感谢大家的理解与支持。
注:本SRC目前仅接收旷视域名、ip下的系统或旷视产品相关的漏洞,暂不接收其他旷视相关公司的漏洞。
提交地址:https://megvii.huoxian.cn/
火线安全
活动时间:2024年10月21日 ~ 2024年10月31日
活动规则:
中危及以上级别漏洞2倍RANK及查克拉积分奖励,可作为擂台争夺赛排名积分,
原有奖励:严重100/高危75/中危50/低危25
翻倍后奖励:严重200/高危150/中危100
项目现金奖励
活动范围:
www.huoxian.cn
zone.huoxian.cn
火线平台管理后台
提交地址:https://hx.huoxian.cn/
文末福利
关注+转发朋友圈即可参加抽奖活动
获得由【机械工业出版社】赞助的
【红队VS蓝队:网络攻防实战技术解析】
转发本文到朋友圈朋友圈分组无效
开奖前删除朋友圈无效
开奖后“火线小助手”将联系获奖同学并审核抽奖条件
关于火线安全
火线安全致力于做客户身边的安全专家,以超过2万名实名可信赖的安全专家团队和高效的运营平台,为客户提供专业的实战安全评估和托管运营服务。截止目前,火线安全已为互联网、金融、企业服务、物联网、人工智能等多个领域的200多家海内外知名企业提供优质的安全服务,代表客户包括腾讯、中国银行、安信证券、电信国际、地平线、大华、华润、MEXC Global 、Advance Intelligence Group。
添加“火线小助手”
回复“商务”联系我们获得一流安全服务能力