最高五萬元現金！TSRC騰訊雲業務安全專項今日開戰

產業網際網路時代，“上雲”已經成為各行各業數字化轉型過程中的關鍵一步，“雲載萬物”是未來世界的寫照，“雲安全”也因此顯得更為重要。互聯一切，連線未來，同樣也需要所有正義的白帽子的力量。

基於此，TSRC將於8月19日9時至8月31日18時針對騰訊雲官方運維產品，在特定的域名範圍開展為期兩週的專項漏洞徵集活動。TSRC聯合雲鼎實驗室，共同努力確保雲上業務的整體安全。

最高四倍積分！

月度1-5萬元即時現金獎！

單個嚴重漏洞，騰訊安全雲鼎實驗室額外提供10000元現金大獎！

趕快行動，加入我們，一起保護雲上安全！

“雲上保衛戰”——TSRC騰訊雲業務安全專項即將拉開序幕。你準備好了嗎？

活動總概

【活動時間】

8月19日 9:00 至 8月31日 18:00

【適用條件】

本次TSRC騰訊雲業務安全專項覆蓋的相關業務如下:

1.域名範圍：

*.http://cloud.tencent.com

*.http://qcloud.com

2.產品範圍：

限騰訊雲官方運維產品。騰訊雲交付出去的產品不算入其中。

3. 透過騰訊安全應急響應中心（TSRC）提交

【獎勵規則】

1.最高4倍積分

活動期間，在專項活動範圍內， 以TSRC現有評分規則為基礎：

高危漏洞：2倍積分&安全幣

嚴重漏洞：4倍積分&安全幣

2.額外萬元大獎：

針對活動範圍內每個嚴重漏洞，騰訊安全雲鼎實驗室額外給予稅後10000元現金獎勵；

3.月度即時現金大獎：

符合TSRC即時現金獎勵標準的嚴重漏洞，TSRC將額外給予每個漏洞1~5萬的即時現金獎勵。

【漏洞評級及獎勵標準】

詳情請參考：

https://security.tencent.com/uploadimg_dir/other/TSRC.pdf

【TSRC漏洞提交基本原則】

1、測試過程不得損害業務正常執行，不得以測試漏洞藉口嘗試利用漏洞損害使用者利益，影響業務的正常執行或盜取使用者資料等行為。

2、禁止內網滲透行為，包括但不限於利用SSRF 或其他漏洞掃描內網、嘗試系統提權等行為。

3、禁止進行網路拒絕服務攻擊，包括但不限於DoS、DDos、CC 或其他明確在嘗試前可知會影響服務穩定性的拒絕服務攻擊。

4、禁止下載和業務相關的敏感資料，包括但不限於原始碼、運營資料、使用者資料等，若存在不知情的下載行為，需及時說明和刪除。

5、在測試未限制傳送次數的簡訊功能時，需填寫自己的手機號，禁止對其他使用者號碼進行嘗試。

6、禁止使用可能造成業務影響的漏洞嘗試工具，包括但不限於SQLMap 等，使用時需確認不會對業務資料造成破壞性的影響。

7、在測試過程中如包含資料獲取功能時，包括但不限於SQL 注入、使用者資料的越權獲取等，應儘可能的採取手動嘗試，且獲取的資料量不能超過10 組，相關資料也需在報告後儘快刪除。

8、測試越權嘗試或其他可能影響使用者資料的操作時，需儘可能將嘗試控制在自己建立的多個賬號生成的內容中，不得影響到線上業務中其他使用者的正常資料。

9、禁止透過物理接觸、社會工程學、釣魚、水坑等不涉及TSRC 獎勵計劃的非技術漏洞嘗試。

10、我們反對和譴責一切以漏洞測試為藉口，利用安全漏洞進行破壞，損害騰訊系統及騰訊使用者的利益的攻擊行為，對相關行為我們保留追究法律責任的權利。

11、其他漏洞提交準則請參照《騰訊外部威脅情報處理流程》及補充公告相關規定。

【其它說明】

在漏洞處理過程中，如果報告者對處理流程、漏洞評定、漏洞評分等具有異議的，請透過當前漏洞報告頁面的評論功能或者頁面中的“一鍵聯絡處理人員”、“聯絡值班人員”的按鈕及時溝通。騰訊安全應急響應中心將根據漏洞報告者利益優先的原則進行處理，必要時可引入外部人士共同裁定。更多詳情請參照“騰訊外部漏洞報告處理流程”。