活动|听说挖洞能致富,DEF CON CHINA是条路!7倍奖励!我们老板疯了

阅读量    66870 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

活动介绍

还有2周

一场中美两大安全社区碰撞与融合的

全球极客大趴即将开幕!

百度网络安全技术对抗赛(BCTF)

作为DEF CON CTF预选赛

将在DEF CON CHINA 1.0期间举行

在这场全球顶级Hacker汇聚的盛宴中

怎能少的了中国白帽的身影?

BSRC为你提供名利双收的机会!

BCTF彩蛋—BSRC众测1.0

惊喜上映~

简单粗暴,奖金翻倍

 

活动地点

线上,BSRC漏洞提交链接:https://bsrc.baidu.com

 

活动时间

众测时间:5月20日-6月2日

复测时间:6月17日-6月21日

 

活动亮点及说明

测试范围:全域范围内,接收百度业务相关漏洞和威胁情报。

提交地址:https://bsrc.baidu.com

提交漏洞选择【BCTF众测彩蛋1.0】

 

奖励规则

 

根据BSRC评分标准,以严重漏洞最高评分为例

发现百度业务相关严重漏洞最高奖励1600安全币

5倍奖励后为8000枚安全币

单个漏洞最高可拿40000元的现金奖励!!

 

威胁情报收取说明

威胁情报将根据完整性及其影响打分,鼓励涉及账号、核心业务技术、数据相关、用户隐私相关的黑灰产情报,鼓励提交尽量完整的情报信息,完整性基本信息参考5W 1H原则(Why What Who When Where How),即应说明何种人群在何时出于何种目的通过何种行为/业务进行谋取何种利益/危害行为。

常见的无效威胁情报包括:无有效信息的威胁情报、无法证实或伪造的威胁情报、BSRC已掌握的威胁情报。

 

漏洞评分标准及相关说明

活动期间,漏洞评审处理流程参照【BSRC漏洞处理流程5.0版本】,中危、低危漏洞BSRC照常接收 ;

常见漏洞测试方法说明:

1.SSRF测试认定方法

如果可以访问到http://10.199.7.105/,第一行将输出一个40位的字符串作为flag,第二行为1024位的字符串,可获取到flag,认为是有回显的SSRF,请将此flag在提交漏洞时附上。可获取到flag及其后的1024位字符串,认为是完全回显SSRF。 不同的回显程度会对应不同的打分,同时请不要尝试访问其他内网站点,以免造成不必要的影响。

2.命令执行测试认定方法

可通过curl http://10.199.7.105/来证明可执行命令,无回显的情况下可在报告中说明,或联系我们确认。

3.SQL注入测试认定方法

SQL注入证明可获取数据即可,如获取当前库下的表名,或者由我们进行验证。 注意version()并不能证明获取数据的能力,同时请勿恶意获取数据(超过10条)

 

注意事项

测试验证数据应控制在10条范围内,否则将计0分处理,并保留追究法律责任的权利,漏洞危害级别根据漏洞影响而定,即同一个类型的漏洞其危害等级不一样,会根据其实际影响而决定,请仔细阅读《BSRC用户协议》,以避免由此带来的风险。

注:本次奖励安全币会在后台发放,不影响月榜单排名。

 

文末惊喜

随着DEF CON CHINA KEYNOTE、LIVE MUSIC、艺术作品等一系列细节的公布,大家对DEF CON CHINA的热情也与日俱增,下一期,BSRC将对平台用户给予DEF CON CHINA门票大补贴,“520”给你满满的关爱,敬请期待~

 

安全客读者也有福利哦~在本文下方留言我想去DEF CON CHINA也有购票福利哦~

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多