產業網際網路時代,“上雲”已經成為各行各業數字化轉型過程中的關鍵一步,“雲載萬物”是未來世界的寫照,“雲安全”也因此顯得更為重要。互聯一切,連線未來,同樣也需要所有正義的白帽子的力量。
基於此,TSRC將於8月19日9時至8月31日18時針對騰訊雲官方運維產品,在特定的域名範圍開展為期兩週的專項漏洞徵集活動。TSRC聯合雲鼎實驗室,共同努力確保雲上業務的整體安全。
最高四倍積分!
月度1-5萬元即時現金獎!
單個嚴重漏洞,騰訊安全雲鼎實驗室額外提供10000元現金大獎!
趕快行動,加入我們,一起保護雲上安全!
“雲上保衛戰”——TSRC騰訊雲業務安全專項即將拉開序幕。你準備好了嗎?
活動總概
【活動時間】
8月19日 9:00 至 8月31日 18:00
【適用條件】
本次TSRC騰訊雲業務安全專項覆蓋的相關業務如下:
1.域名範圍:
*.http://cloud.tencent.com
*.http://qcloud.com
2.產品範圍:
限騰訊雲官方運維產品。騰訊雲交付出去的產品不算入其中。
3. 透過騰訊安全應急響應中心(TSRC)提交
【獎勵規則】
1.最高4倍積分
活動期間,在專項活動範圍內, 以TSRC現有評分規則為基礎:
高危漏洞:2倍積分&安全幣
嚴重漏洞:4倍積分&安全幣
2.額外萬元大獎:
針對活動範圍內每個嚴重漏洞,騰訊安全雲鼎實驗室額外給予稅後10000元現金獎勵;
3.月度即時現金大獎:
符合TSRC即時現金獎勵標準的嚴重漏洞,TSRC將額外給予每個漏洞1~5萬的即時現金獎勵。
【漏洞評級及獎勵標準】
詳情請參考:
https://security.tencent.com/uploadimg_dir/other/TSRC.pdf
【TSRC漏洞提交基本原則】
1、測試過程不得損害業務正常執行,不得以測試漏洞藉口嘗試利用漏洞損害使用者利益,影響業務的正常執行或盜取使用者資料等行為。
2、禁止內網滲透行為,包括但不限於利用SSRF 或其他漏洞掃描內網、嘗試系統提權等行為。
3、禁止進行網路拒絕服務攻擊,包括但不限於DoS、DDos、CC 或其他明確在嘗試前可知會影響服務穩定性的拒絕服務攻擊。
4、禁止下載和業務相關的敏感資料,包括但不限於原始碼、運營資料、使用者資料等,若存在不知情的下載行為,需及時說明和刪除。
5、在測試未限制傳送次數的簡訊功能時,需填寫自己的手機號,禁止對其他使用者號碼進行嘗試。
6、禁止使用可能造成業務影響的漏洞嘗試工具,包括但不限於SQLMap 等,使用時需確認不會對業務資料造成破壞性的影響。
7、在測試過程中如包含資料獲取功能時,包括但不限於SQL 注入、使用者資料的越權獲取等,應儘可能的採取手動嘗試,且獲取的資料量不能超過10 組,相關資料也需在報告後儘快刪除。
8、測試越權嘗試或其他可能影響使用者資料的操作時,需儘可能將嘗試控制在自己建立的多個賬號生成的內容中,不得影響到線上業務中其他使用者的正常資料。
9、禁止透過物理接觸、社會工程學、釣魚、水坑等不涉及TSRC 獎勵計劃的非技術漏洞嘗試。
10、我們反對和譴責一切以漏洞測試為藉口,利用安全漏洞進行破壞,損害騰訊系統及騰訊使用者的利益的攻擊行為,對相關行為我們保留追究法律責任的權利。
11、其他漏洞提交準則請參照《騰訊外部威脅情報處理流程》及補充公告相關規定。
【其它說明】
在漏洞處理過程中,如果報告者對處理流程、漏洞評定、漏洞評分等具有異議的,請透過當前漏洞報告頁面的評論功能或者頁面中的“一鍵聯絡處理人員”、“聯絡值班人員”的按鈕及時溝通。騰訊安全應急響應中心將根據漏洞報告者利益優先的原則進行處理,必要時可引入外部人士共同裁定。更多詳情請參照“騰訊外部漏洞報告處理流程”。