墨客出戰,攻守兼備!全新一季百度“墨客”挑戰邀請賽將於5月15日正式開啟,單個漏洞最高5萬元豐厚獎金等你贏取!
本次百度“墨客”挑戰邀請賽將聚焦遠端程式碼執行和遠端命令執行漏洞,以RCE漏洞為目標,覆蓋百度各大業務,但暫不包括APP、客戶端,而活動時間也將從5月15日持續開展至5月28日,並根據不同類別、級別的提交漏洞,給予1萬元至5萬元不等的現金獎勵。特別是對於涉及叢集逃逸的雲原生漏洞,我們將予以特別關注。
眾測範圍
百度集團業務(暫不包括APP、客戶端)
眾測時間
2023年5月15日-2023年5月28日
獎勵機制
RCE漏洞 不通內網 定額獎勵1w/個
RCE漏洞 通內網 定額獎勵3w/個
雲原生漏洞 涉及叢集逃逸 最高獎勵至5w/個
注意:為避免影響榮譽榜排名,以及月度獎勵發放,RCE漏洞不通內網定級高危,評分400分,RCE漏洞通內網定級高危,評分600分,雲原生漏洞涉及叢集逃逸定級嚴重,評分1000分,獎勵不足部分另外發放
漏洞提交相關說明
提交漏洞時,漏洞標題請註明【RCE】+漏洞名稱,如【RCE】+某業務線一處XX漏洞。如提交漏洞未註明本次活動,此漏洞將不參與眾測獎勵,只享受常規安全幣獎勵,不在眾測範圍內的漏洞請勿新增眾測標題。
測試注意事項
- 禁止使用掃描器、壓力測試等高併發程式掃描、攻擊測試物件。
- 儘量避開業務高峰期進行測試,高峰期時間段18:00-23:30。
- 白帽子根據漏洞對業務的危害進行客觀等級自評,且不在眾測範圍內的漏洞不要新增眾測標題。
- 在漏洞測試過程中,須遵守滲透測試原則,嚴格遵守《網路安全法》的規定,對於上傳webshell、惡意拖取資料、下載原始碼等越界行為,漏洞均0分處理,且百度有權利報案、舉報、並配合刑事偵查機關提供相應證據。
- 為了保護百度產品及業務的安全,降低使用者安全風險,不得將未公開漏洞提供給境外組織或者個人。
- 測試過程中不得獲取資料,如確有必要,不得超過10條;如利用漏洞能夠直接獲得資料庫寫入許可權,直接寫入的資料條數不得超過2條;嚴禁大規模遍歷資料的行為。
- 白帽子在滲透測試中應遵守《百度安全應急響應中心(BSRC)服務協議》。
關於百度“墨客”挑戰邀請賽
百度“墨客”挑戰邀請賽由百度安全在2021年創立,旨在基於百度全域業務資產,邀請國內網路安全社群領先藍軍戰隊分階段向紅方防線發起“挑戰”。所謂備者,國之重也。以“救守”之理念應對兵者詭道,明為墨攻,實為墨守,檢驗百度產品服務防護能力,展開貼近實戰的攻防演練,共同推動安全體系的持續進化。