最高 5W 奖金！百度“墨客”挑战邀请赛再启

墨客出战，攻守兼备！全新一季百度“墨客”挑战邀请赛将于 5 月 15 日正式开启，单个漏洞最高 5 万元丰厚奖金等你赢取！

本次百度“墨客”挑战邀请赛将聚焦远程代码执行和远程命令执行漏洞，以 RCE 漏洞为目标，覆盖百度各大业务，但暂不包括 APP、客户端，而活动时间也将从 5 月 15 日持续开展至 5 月 28 日，并根据不同类别、级别的提交漏洞，给予 1 万元至 5 万元不等的现金奖励。特别是对于涉及集群逃逸的云原生漏洞，我们将予以特别关注。

众测范围

百度集团业务（暂不包括 APP、客户端）

众测时间

2023 年 5 月 15 日-2023 年 5 月 28 日

奖励机制

RCE 漏洞 不通内网 定额奖励 1w/个

RCE 漏洞 通内网 定额奖励 3w/个 

云原生漏洞 涉及集群逃逸 最高奖励至 5w/个

注意：为避免影响荣誉榜排名，以及月度奖励发放，RCE 漏洞不通内网定级高危，评分 400 分，RCE 漏洞通内网定级高危，评分 600 分，云原生漏洞涉及集群逃逸定级严重，评分 1000 分，奖励不足部分另外发放

漏洞提交相关说明

提交漏洞时，漏洞标题请注明【RCE】+漏洞名称，如【RCE】+某业务线一处 XX 漏洞。如提交漏洞未注明本次活动，此漏洞将不参与众测奖励，只享受常规安全币奖励，不在众测范围内的漏洞请勿添加众测标题。

测试注意事项

1. 禁止使用扫描器、压力测试等高并发程序扫描、攻击测试对象。

2. 尽量避开业务高峰期进行测试，高峰期时间段 18:00-23:30。

3. 白帽子根据漏洞对业务的危害进行客观等级自评，且不在众测范围内的漏洞不要添加众测标题。

4. 在漏洞测试过程中，须遵守渗透测试原则，严格遵守《网络安全法》的规定，对于上传 webshell、恶意拖取数据、下载源码等越界行为，漏洞均 0 分处理，且百度有权利报案、举报、并配合刑事侦查机关提供相应证据。

5. 为了保护百度产品及业务的安全，降低用户安全风险，不得将未公开漏洞提供给境外组织或者个人。

6. 测试过程中不得获取数据，如确有必要，不得超过 10 条；如利用漏洞能够直接获得数据库写入权限，直接写入的数据条数不得超过 2 条；严禁大规模遍历数据的行为。

7. 白帽子在渗透测试中应遵守《百度安全应急响应中心（BSRC）服务协议》。

关于百度“墨客”挑战邀请赛

百度“墨客”挑战邀请赛由百度安全在 2021 年创立，旨在基于百度全域业务资产，邀请国内网络安全社区领先蓝军战队分阶段向红方防线发起“挑战”。所谓备者，国之重也。以“救守”之理念应对兵者诡道，明为墨攻，实为墨守，检验百度产品服务防护能力，展开贴近实战的攻防演练，共同推动安全体系的持续进化。