致谢信
**白帽 ID:**EstamelGG
2024 年 07 月 22 日,BSRC 接收来自 EstamelGG 关于某客户端应用存在安全设计缺陷的漏洞报告,EstamelGG 在报告中提供了详细漏洞验证过程,BSRC 联合业务迅速做出响应,漏洞得到快速有效的处理,及时保障了用户的安全。
其漏洞报告入选 BSRC 高质量漏洞现金奖励计划,在 1600 安全币 漏洞奖金基础上给予 20000 元额外奖励。
BSRC 对 EstamelGG 表示衷心的感谢!
高质量漏洞现金奖励计划
为奖励优质漏洞报告,BSRC 日常开放高质量漏洞现金奖励计划。
根据所提交高危害漏洞数量、难易程度、影响范围、思路是否新颖等因素进行综合评选。
若满足奖励条件,将在现有漏洞奖励之上额外提供最高可达50万元人民币的现金奖励!
奖励规则:
1. 对于符合 BSRC 优质漏洞奖励计划的高危安全问题,将在已得评分的基础上额外给予1~5万现金奖励。
2. 对于符合 BSRC 优质漏洞奖励计划的严重安全问题,将在已得评分的基础上额外给予4~50万现金奖励。
评选条件:
综合评选基于所提交的高危害漏洞数量、难易程度、影响范围以及思路的新颖性等因素进行。
鼓励报告者在提交漏洞报告时提供完整的漏洞发现方式,满足此条件的漏洞报告在漏洞审核中会酌情加分,并有机会参与评选高质量漏洞奖,具体参考如下:
【重要风险情报】
1 针对百度账号的黑灰产行为,如盗号、恶意利用接口获取用户敏感信息(包括手机、邮箱、IP 等)等。
2 针对百度核心业务如百度推广的钓鱼、作弊、欺诈等规模性的黑灰产行为。
3 针对百度 UGC 社区如百度贴吧、知道、百科、百家号等的恶意刷帖、删帖等黑灰产行为。
【严重类型】
1 直接远程获取核心系统权限的漏洞(服务器权限、通过百度批量获取客户端权限)
2 直接导致核心业务拒绝服务的漏洞
3 直接导致严重敏感信息泄露的漏洞
4 直接造成重大损失的严重逻辑设计或流程缺陷
5 直接造成重大损失的百度业务相关灰、黑产严重威胁情报
6 直接造成重大损失的百度技术情报及业务情报
【高危类型】
1 远程代码执行漏洞
2 高危敏感信息泄露
3 造成较大损失的百度业务相关灰、黑产严重威胁情报
4 造成较大损失的百度技术情报及业务情报
5 其他危害较大影响或范围较大的安全漏洞
欢迎更多安全专家加入百度安全应急响应中心,向我们反馈百度产品及业务的安全漏洞,为数亿用户的安全在线生活保驾护航!
相关****阅读
记得关注1 ⬇️
