众测范围:百度全域
提交地址:https://bsrc.baidu.com
众测活动时间:2021.3.8 10:00-2021.3.19
众测活动奖励形式:
高危漏洞/情报:4倍安全币奖励
严重漏洞/情报:5倍安全币奖励
威胁情报:提交漏洞时请在漏洞类型处勾选【入侵事件安全情报】,有效情报即送百度周边礼品1份,每个ID限1份
除了丰厚的众测翻倍奖励,BSRC还有日常活动奖励计划,可与此次活动叠加,个人前三可获得5k、3k、1k的额外奖励,团队奖励最高获得当月安全币(翻倍前)总额。
漏洞评分标准及相关说明:
漏洞评审处理流程参照【BSRC漏洞处理流程6.0版本】,活动期间,中危、低危漏洞BSRC照常接收 。
常见漏洞测试方法说明:
1、SSRF测试认定方法
如果可以访问到http://10.199.7.105/,第一行将输出一个40位的字符串作为flag,第二行为1024位的字符串,可获取到flag,认为是有回显的SSRF,请将此flag在提交漏洞时附上。可获取到flag及其后的1024位字符串,认为是完全回显SSRF。 不同的回显程度会对应不同的打分,同时请不要尝试访问其他内网站点,以免造成不必要的影响。
2、SQL注入测试认定方法
SQL注入证明可获取数据即可,证明能读取user()、database() 即可,或者由我们进行验证。 同时请勿恶意获取数据(超过20条)。
3、命令执行类漏洞验证方式:仅允许执行验证性命令(whoami/hostname/ifconfig/pwd),禁止其他恶意操作(如反弹shell、扫描内网等)
4、上传类漏洞验证方式:仅可上传php文件内容为phpinfo();或echo md5(“123456”)
注意事项:
测试验证数据应控制在10条范围内,否则将计0分处理,并保留追究法律责任的权利,漏洞危害级别根据漏洞影响而定,即同一个类型的漏洞其危害等级不一样,会根据其实际影响而决定,请仔细阅读《BSRC用户协议》及漏洞测试规范(详见BSRC公告),以避免由此带来的风险。
注:本次奖励安全币会在后台发放,不影响月榜单排名
京公网安备 11010802033237号
