长亭百川云 - 文章详情

单个漏洞10万元!飞书、火山引擎双倍积分专测进行中!

字节跳动安全中心

42

2024-07-13

专测时间

6月4日-6月14日

专测范围

飞书、火山引擎

重点关注的漏洞类型:客户端漏洞、XSS、越权漏洞、逻辑漏洞、开源组件的0day、SSRF等

报告标题请备注【飞书专测】、【火山专测】

奖励方案

奖励一:飞书、火山引擎的高危严重漏洞享有2倍积分

**奖励对象:**2023/07/01-2024/06/03未提交过高危严重漏洞的用户

*灰色划线为日常奖金,橙色为活动期间赏金💰

不与其他翻倍奖励活动叠加

奖励二:⌨️蓝牙键盘+⛺️露营包礼包

**奖励对象:**活动期间提交中危及以上等级漏洞的师傅均可享有(每个id限1份)

测试规则

1、禁止进行可能引起业务异常运行的测试,禁止用扫描器或其他自动化工具,只允许手工测试;禁止任何类型的网络拒绝服务(DoS 或DDoS)测试或通过软件或者工具自动扫描产生大量数据流量的行为。

2、注入漏洞严禁读取表内数据,对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。(对于可能改变表数据的,需要提前报备。)

3、禁止进行内网渗透测试行为和任何有害化的测试行为,包括但不限于:获取内网权限后在内网使用扫描器、或横向接触非对外开放系统目标、获取内网应用/主机权限/数据、上传 webshell、反弹 shell等。

4、禁止下载、保存、传播和业务相关的敏感数据,包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料、登陆凭证等,若存在不知情的下载行为,需及时说明和删除;测试过程中获取的相关代码/数据,务必在SRC漏洞确认后立即删除,不得非法留存及使用。

5、禁止进行近源攻击或者黑客物理入侵、社会工程学测试或邮件钓鱼等非技术漏洞测试,尤其是禁止使用社工库等非法手段获取用户密码。

6、越权漏洞:越权读取时能够证明读取数量即可,且读取到的真实数据不超过5组,严禁进行批量读取;请自备测试账号,敏感操作不得涉及线上正常用户的帐号(如需进一步证明危害,请咨询管理员得到同意后进行测试。)

7、针对业务线专测:专测开始前需和运营报备即将使用的C2的IP地址,未及时报备将视为未授权攻击行为,会影响最终漏洞奖励;禁止盗用、借用、售卖测试账号,不得擅自修改账号密码、换绑手机号、添加子账号等;禁止利用测试账号对专测范围外的产品和业务测试;测试账号仅限专测时间内使用。

8、禁止使用任何违反平台规定或法律法规的文字、图片、视频作为测试素材。

9、当您在进行重要敏感操作前,请先与管理员报备,得到授权后再进一步测试。

#互动有礼#

欢迎师傅们转发本文到朋友圈

随机抽5位送出周边礼品🎁

扫码参与抽奖

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2