写点什么

最高 5W 奖金!百度“墨客”挑战邀请赛再启

作者:百度安全
  • 2023-05-12
    北京
  • 本文字数:990 字

    阅读完需:约 3 分钟

最高5W奖金!百度“墨客”挑战邀请赛再启

墨客出战,攻守兼备!全新一季百度“墨客”挑战邀请赛将于 5 月 15 日正式开启,单个漏洞最高 5 万元丰厚奖金等你赢取!

本次百度“墨客”挑战邀请赛将聚焦远程代码执行和远程命令执行漏洞,以 RCE 漏洞为目标,覆盖百度各大业务,但暂不包括 APP、客户端,而活动时间也将从 5 月 15 日持续开展至 5 月 28 日,并根据不同类别、级别的提交漏洞,给予 1 万元至 5 万元不等的现金奖励。特别是对于涉及集群逃逸的云原生漏洞,我们将予以特别关注。

众测范围

百度集团业务(暂不包括 APP、客户端)

众测时间

2023 年 5 月 15 日-2023 年 5 月 28 日

奖励机制

RCE 漏洞 不通内网 定额奖励 1w/个

RCE 漏洞 通内网 定额奖励 3w/个 

云原生漏洞 涉及集群逃逸 最高奖励至 5w/个

注意:为避免影响荣誉榜排名,以及月度奖励发放,RCE 漏洞不通内网定级高危,评分 400 分,RCE 漏洞通内网定级高危,评分 600 分,云原生漏洞涉及集群逃逸定级严重,评分 1000 分,奖励不足部分另外发放

漏洞提交相关说明

提交漏洞时,漏洞标题请注明【RCE】+漏洞名称,如【RCE】+某业务线一处 XX 漏洞。如提交漏洞未注明本次活动,此漏洞将不参与众测奖励,只享受常规安全币奖励,不在众测范围内的漏洞请勿添加众测标题。

测试注意事项

1. 禁止使用扫描器、压力测试等高并发程序扫描、攻击测试对象。

2. 尽量避开业务高峰期进行测试,高峰期时间段 18:00-23:30。

3. 白帽子根据漏洞对业务的危害进行客观等级自评,且不在众测范围内的漏洞不要添加众测标题。

4. 在漏洞测试过程中,须遵守渗透测试原则,严格遵守《网络安全法》的规定,对于上传 webshell、恶意拖取数据、下载源码等越界行为,漏洞均 0 分处理,且百度有权利报案、举报、并配合刑事侦查机关提供相应证据。

5. 为了保护百度产品及业务的安全,降低用户安全风险,不得将未公开漏洞提供给境外组织或者个人。

6. 测试过程中不得获取数据,如确有必要,不得超过 10 条;如利用漏洞能够直接获得数据库写入权限,直接写入的数据条数不得超过 2 条;严禁大规模遍历数据的行为。

7. 白帽子在渗透测试中应遵守《百度安全应急响应中心(BSRC)服务协议》。

关于百度“墨客”挑战邀请赛

百度“墨客”挑战邀请赛由百度安全在 2021 年创立,旨在基于百度全域业务资产,邀请国内网络安全社区领先蓝军战队分阶段向红方防线发起“挑战”。所谓备者,国之重也。以“救守”之理念应对兵者诡道,明为墨攻,实为墨守,检验百度产品服务防护能力,展开贴近实战的攻防演练,共同推动安全体系的持续进化。

用户头像

百度安全

关注

有AI更安全 2018-11-08 加入

百度安全官方技术账号

评论

发布
暂无评论
最高5W奖金!百度“墨客”挑战邀请赛再启_百度安全_InfoQ写作社区