最高五萬元現金!TSRC騰訊雲業務安全專項今日開戰

雲鼎實驗室發表於2019-08-19

產業網際網路時代,“上雲”已經成為各行各業數字化轉型過程中的關鍵一步,“雲載萬物”是未來世界的寫照,“雲安全”也因此顯得更為重要。互聯一切,連線未來,同樣也需要所有正義的白帽子的力量。

基於此,TSRC將於8月19日9時至8月31日18時針對騰訊雲官方運維產品,在特定的域名範圍開展為期兩週的專項漏洞徵集活動。TSRC聯合雲鼎實驗室,共同努力確保雲上業務的整體安全。

最高四倍積分!

月度1-5萬元即時現金獎!

單個嚴重漏洞,騰訊安全雲鼎實驗室額外提供10000元現金大獎!

趕快行動,加入我們,一起保護雲上安全!

最高五萬元現金!TSRC騰訊雲業務安全專項今日開戰

“雲上保衛戰”——TSRC騰訊雲業務安全專項即將拉開序幕。你準備好了嗎?

活動總概

【活動時間】

8月19日 9:00 至 8月31日 18:00

【適用條件】

本次TSRC騰訊雲業務安全專項覆蓋的相關業務如下:

1.域名範圍:

*.http://cloud.tencent.com

*.http://qcloud.com

2.產品範圍:

限騰訊雲官方運維產品。騰訊雲交付出去的產品不算入其中。

3. 透過騰訊安全應急響應中心(TSRC)提交

【獎勵規則】

1.最高4倍積分

活動期間,在專項活動範圍內, 以TSRC現有評分規則為基礎:

高危漏洞:2倍積分&安全幣

嚴重漏洞:4倍積分&安全幣

2.額外萬元大獎:

針對活動範圍內每個嚴重漏洞,騰訊安全雲鼎實驗室額外給予稅後10000元現金獎勵;

3.月度即時現金大獎:

符合TSRC即時現金獎勵標準的嚴重漏洞,TSRC將額外給予每個漏洞1~5萬的即時現金獎勵。

【漏洞評級及獎勵標準】

詳情請參考:

https://security.tencent.com/uploadimg_dir/other/TSRC.pdf

【TSRC漏洞提交基本原則】

1、測試過程不得損害業務正常執行,不得以測試漏洞藉口嘗試利用漏洞損害使用者利益,影響業務的正常執行或盜取使用者資料等行為。

2、禁止內網滲透行為,包括但不限於利用SSRF 或其他漏洞掃描內網、嘗試系統提權等行為。

3、禁止進行網路拒絕服務攻擊,包括但不限於DoS、DDos、CC 或其他明確在嘗試前可知會影響服務穩定性的拒絕服務攻擊。

4、禁止下載和業務相關的敏感資料,包括但不限於原始碼、運營資料、使用者資料等,若存在不知情的下載行為,需及時說明和刪除。

5、在測試未限制傳送次數的簡訊功能時,需填寫自己的手機號,禁止對其他使用者號碼進行嘗試。

6、禁止使用可能造成業務影響的漏洞嘗試工具,包括但不限於SQLMap 等,使用時需確認不會對業務資料造成破壞性的影響。

7、在測試過程中如包含資料獲取功能時,包括但不限於SQL 注入、使用者資料的越權獲取等,應儘可能的採取手動嘗試,且獲取的資料量不能超過10 組,相關資料也需在報告後儘快刪除。

8、測試越權嘗試或其他可能影響使用者資料的操作時,需儘可能將嘗試控制在自己建立的多個賬號生成的內容中,不得影響到線上業務中其他使用者的正常資料。

9、禁止透過物理接觸、社會工程學、釣魚、水坑等不涉及TSRC 獎勵計劃的非技術漏洞嘗試。

10、我們反對和譴責一切以漏洞測試為藉口,利用安全漏洞進行破壞,損害騰訊系統及騰訊使用者的利益的攻擊行為,對相關行為我們保留追究法律責任的權利。

11、其他漏洞提交準則請參照《騰訊外部威脅情報處理流程》及補充公告相關規定。

【其它說明】

在漏洞處理過程中,如果報告者對處理流程、漏洞評定、漏洞評分等具有異議的,請透過當前漏洞報告頁面的評論功能或者頁面中的“一鍵聯絡處理人員”、“聯絡值班人員”的按鈕及時溝通。騰訊安全應急響應中心將根據漏洞報告者利益優先的原則進行處理,必要時可引入外部人士共同裁定。更多詳情請參照“騰訊外部漏洞報告處理流程”。


相關文章