OSRC自2018年成立以来,为了给白帽师傅们提供丰厚的现金奖励及荣誉回馈,不断完善各项奖励与制度。
在即将迎来六周年之际,OSRC针对互联网安全核心业务范围、奖励等进行重磅升级!
具体更新点如下:
更新一
互联网应用安全核心范围更新
核心业务新增realme、一加业务
妈妈再也不用担心我在OPPO挖不到漏洞啦~
更新二
互联网应用安全漏洞奖励更新
《互联网应用安全漏洞评分标准》、《安全情报评分标准》奖励升级!
核心业务中高严重等级全线调整奖励
升级前:
升级后:
更新三
终端安全漏洞评分标准更新
《终端安全漏洞评分标准》刷新最新机型范围,严重最高奖励提升至80000!
最新接受机型范围:
严重等级最高奖励升级:
更新四
季度奖励更新
为了照顾到更多挖到漏洞的白帽师傅
忠诚白帽奖将不再限制两个季度都挖到漏洞的师傅
当前季度达到要求即可享受到忠诚白帽奖额外奖励
挖的越多,奖励越多!
*额外奖励不计入贡献值
更新五
新增漏洞报告质量奖
我们鼓励白帽子向我们提交的高质量的漏洞报告
这样的报告能够帮助安全团队更迅速地理解和修复漏洞
从而提升整体漏洞管理效率
不仅缩短了漏洞的修复时间
还能减少因错误分析带来的资源浪费
根据OSRC漏洞提交部分,内容参考如下:
0****1
详细说明
漏洞的产生来源【OPPO业务相关的信息,触发漏洞的功能点,URL地址,使用的测试账号】等。
漏洞的危害影响【形成原理,利用条件,利用方式,可以导致的危害,快速排查类似漏洞的自动化工具或方法】等。
02
漏洞证明
根据漏洞的利用链或利用过程,逐步给出漏洞的利用证明。
关键的攻击动作提供 HTTP 请求包文本、测试思路、详细的 Payload,POC脚本,已经尝试过的Payload列表和工具的截图等。
复杂的漏洞利用链或涉及多个账号切换的利用过程,提供录制视频。
03
修复方案
需给出漏洞的修复方案【临时解决方案,安全加固方案】等。
04
参考内容
1)漏洞简述
2)版本声明和漏洞原理分析
3)关键缺陷函数-绕过分析
4)漏洞攻击链-攻击演示
5)漏洞攻击链-POC/EXP的编写思路,提供完整的源码/APK
6)漏洞总结
7)修复方案
8)请提供联系方式,方便漏洞确认
9)相关附件
满足以上情况的漏洞报告将有机会获得漏洞报告质量奖。
05
奖励方案
===================================
我们将为高质量报告者提供漏洞报告基础奖励的20%-30%人民币作为额外现金奖励。
如:30000*0.3=9000
当白帽子为其发现的安全漏洞提供优质报告时,白帽子就有机会在漏洞确认有效后直接获得优质报告奖作为额外奖励。
OSRC 每个月将根据优质报告的实际情况,为不同的报告分配相应额度的漏洞报告优质奖。具体获奖白帽将通过 OSRC 每月奖励公告进行公布。
以上所有更新将于2024年8月1日正式生效。
OSRC的成长与进步离不开每一位白帽子、资深安全研究院以及各类安全团队的鼎力支持。非常感谢各位一路以来的陪伴。正是因为有你们的努力付出,我们才能更好地保障OPPO用户、产品和业务的安全。
展望未来,期待更多优质的安全相关人员加入我们,一起为互联网业务安全作出更多贡献。
最新动态