专测时间
6月4日-6月14日
专测范围
飞书、火山引擎
重点关注的漏洞类型:客户端漏洞、XSS、越权漏洞、逻辑漏洞、开源组件的0day、SSRF等
报告标题请备注【飞书专测】、【火山专测】
奖励方案
奖励一:飞书、火山引擎的高危严重漏洞享有2倍积分
**奖励对象:**2023/07/01-2024/06/03未提交过高危严重漏洞的用户
*灰色划线为日常奖金,橙色为活动期间赏金💰
不与其他翻倍奖励活动叠加
奖励二:⌨️蓝牙键盘+⛺️露营包礼包
**奖励对象:**活动期间提交中危及以上等级漏洞的师傅均可享有(每人1个,以id计数)
测试规则
1、禁止进行可能引起业务异常运行的测试,禁止用扫描器或其他自动化工具,只允许手工测试;禁止任何类型的网络拒绝服务(DoS 或DDoS)测试或通过软件或者工具自动扫描产生大量数据流量的行为。
2、注入漏洞严禁读取表内数据,对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。(对于可能改变表数据的,需要提前报备。)
3、禁止进行内网渗透测试行为和任何有害化的测试行为,包括但不限于:获取内网权限后在内网使用扫描器、或横向接触非对外开放系统目标、获取内网应用/主机权限/数据、上传 webshell、反弹 shell等。
4、禁止下载、保存、传播和业务相关的敏感数据,包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料、登陆凭证等,若存在不知情的下载行为,需及时说明和删除;测试过程中获取的相关代码/数据,务必在SRC漏洞确认后立即删除,不得非法留存及使用。
5、禁止进行近源攻击或者黑客物理入侵、社会工程学测试或邮件钓鱼等非技术漏洞测试,尤其是禁止使用社工库等非法手段获取用户密码。
6、越权漏洞:越权读取时能够证明读取数量即可,且读取到的真实数据不超过5组,严禁进行批量读取;请自备测试账号,敏感操作不得涉及线上正常用户的帐号(如需进一步证明危害,请咨询管理员得到同意后进行测试。)
7、针对业务线专测:专测开始前需和运营报备即将使用的C2的IP地址,未及时报备将视为未授权攻击行为,会影响最终漏洞奖励;禁止盗用、借用、售卖测试账号,不得擅自修改账号密码、换绑手机号、添加子账号等;禁止利用测试账号对专测范围外的产品和业务测试;测试账号仅限专测时间内使用。
8、禁止使用任何违反平台规定或法律法规的文字、图片、视频作为测试素材。
9、当您在进行重要敏感操作前,请先与管理员报备,得到授权后再进一步测试。
