点击蓝字 关注我们
活动时间
8月11日10:00——8月24日24:00
活动内容
1
活动范围(以下条件均需满足)
1)域名范围:贝壳直接发布的所有产品和服务,其中包括但不限于:*.ke.com、*.lianjia.com、*.realsee.com、*.ehomepay.com.cn、*.bkjk.com。对于非贝壳找房直接发布的产品和服务暂不计分,其中包括但不限于:自如、各城市私建系统等。
2) 漏洞类型:可直接获取个人/公司敏感信息泄露的未授权访问、越权漏洞
3) 敏感信息范围:
① 在售房源未公开的物业地址信息(精确到门牌号)
② 姓名/手机号/身份证号/物业地址/银行卡号之间的组合(至少包含三种)
③ 城市非公开的成交信息(如成交合同、非公开城市成交价、佣金等)
2
奖励标准
1)符合敏感信息范围中①—③ 且可批量获取50条以上获取敏感信息(注:测试规范白帽只可验证10条,批量情况由贝壳审核验证),将获得2倍积分奖励
2)符合敏感信息范围中①—③ 且满足批量获取条件但不足50条的(注:测试规范白帽只可验证10条,批量情况由贝壳审核验证),由贝壳src审核小组判定符合收取标准的漏洞,将获得1.5倍积分奖励
提交规则
1、漏洞提交:https://security.ke.com
2、提交漏洞/情报时标题请标注【专项活动】字样,如未标注,则按BKSRC日常漏洞收录规则进行相关审核,奖励标准适用日常奖励标准
3、积分发放:所有额外积分于活动后七个工作日内发放
4、测试规范:https://security.ke.com/notices/details?id=8
5、本活动最终解释权归BKSRC所有,如有疑问,请联系运营
注意事项
1、禁止使用扫描器、压力测试等高并发程序扫描、攻击测试对象
2、测试完毕后,如有对账号的修改操作,请务必恢复,如:删除自己添加的测试数据等
3、测试命令执行、数据库注入、webshell上传、供应链攻击等可直接威胁集团内网及数据库安全的漏洞或情报,发现问题后需周知贝壳SRC,经授权后才能进行横向移动,未经授权禁止植入后门或者对内网其他主机进行测试;
4、恶意拖取数据、下载源码等越界行为,漏洞均0分处理,且贝壳找房有权利报案、举报、并配合刑事侦查机关提供相应证据;
5、参与测试的同学,需要遵守保密协定,勿将页面截图、功能模块详情等外传泄露;
6、测试SQL注入类漏洞时,应采取手工注入,且获取的数据量不能超过10组;
7、测试命令执行漏洞时,证明漏洞即可,禁止植入文件或者对内网其他主机进行扫描测试;
8、获取网站的权限时,禁止修改代码文件或植入后门等操作;
9、在漏洞测试过程中,须遵守BKSRC白帽测试规范,详情参见:https://security.ke.com/notices/details?id=15
扫码关注
贝壳安全应急响应中心
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...