共计 1029 个字符,预计需要花费 3 分钟才能阅读完成。
墨客出战,攻守兼备!全新一季百度“墨客”挑战邀请赛将于 5 月 15 日正式开启,单个破绽最高 5 万元丰富奖金等你赢取!
本次百度“墨客”挑战邀请赛将聚焦近程代码执行和近程命令执行破绽,以 RCE 破绽为指标,笼罩百度各大业务,但暂不包含 APP、客户端,而流动工夫也将从 5 月 15 日继续发展至 5 月 28 日,并依据不同类别、级别的提交破绽,给予 1 万元至 5 万元不等的现金处分。特地是对于波及集群逃逸的云原生破绽,咱们将予以特地关注。
众测范畴
百度团体业务(暂不包含 APP、客户端)
众测工夫
2023 年 5 月 15 日 -2023 年 5 月 28 日
处分机制
RCE 破绽 不通内网 定额处分 1w/ 个
RCE 破绽 通内网 定额处分 3w/ 个
云原生破绽 波及集群逃逸 最高处分至 5w/ 个
留神:为防止影响荣誉榜排名,以及月度处分发放,RCE 破绽不通内网定级高危,评分 400 分,RCE 破绽通内网定级高危,评分 600 分,云原生破绽波及集群逃逸定级重大,评分 1000 分,处分有余局部另外发放
破绽提交相干阐明
提交破绽时,破绽题目请注明【RCE】+ 破绽名称,如【RCE】+ 某业务线一处 XX 破绽。如提交破绽未注明本次流动,此破绽将不参加众测处分,只享受惯例平安币处分,不在众测范畴内的破绽请勿增加众测题目。
测试注意事项
- 禁止应用扫描器、压力测试等高并发程序扫描、攻打测试对象。
- 尽量避开业务高峰期进行测试,高峰期时间段 18:00-23:30。
- 白帽子依据破绽对业务的危害进行主观等级自评,且不在众测范畴内的破绽不要增加众测题目。
- 在破绽测试过程中,须恪守浸透测试准则,严格遵守《网络安全法》的规定,对于上传 webshell、歹意拖取数据、下载源码等越界行为,破绽均 0 分解决,且百度有权力报案、举报、并配合刑事侦察机关提供相应证据。
- 为了爱护百度产品及业务的平安,升高用户平安危险,不得将未公开破绽提供给境外组织或者集体。
- 测试过程中不得获取数据,如确有必要,不得超过 10 条;如利用破绽可能间接取得数据库写入权限,间接写入的数据条数不得超过 2 条;严禁大规模遍历数据的行为。
- 白帽子在浸透测试中应恪守《百度平安应急响应核心(BSRC)服务协定》。
对于百度“墨客”挑战邀请赛
百度“墨客”挑战邀请赛由百度平安在 2021 年创建,旨在基于百度全域业务资产,邀请国内网络安全社区当先蓝军战队分阶段向红方防线发动“挑战”。所谓备者,国之重也。以“救守”之理念应答兵者诡道,明为墨攻,实为墨守,测验百度产品服务防护能力,开展贴近实战的攻防演练,独特推动平安体系的继续进化。
