微众银行SRC活动 | 6倍的快乐！ – 作者:微众银行SRC

活动时间

2021年7月7日- 2021年7月27日

奖励规则

请通过微众银行安全应急响应中心（https://security.webank.com/）提交安全漏洞

6倍奖励

6倍奖励范围：微众银行用户业务系统

特别提示：活动收取有实际利用价值的漏洞，其他要求参考《微众银行src漏洞处理和评分标准》

日常漏洞评级及奖励标准

https://x.security.tencent.com/upload_files/202011/94efacf58c4314d6b72ac994a7239d39.pdf

有奖问答

问题：老铁们，知道微众安全应急响应中心是什么时候成立的嘛？

（需要精确到年、月、日）

回答问题，并将答案

发到“微众安全应急响应中心”公众号后台，

第5、9、16个回答正确的微众SRC铁粉们，

即可获得1个攀登小We！！！

无人之境

攀登小We跟你一起探索

(＾Ｕ＾)ノ~ＹＯ

漏洞提交基本原则

1. 在漏洞挖掘过程中，发现的相关漏洞应严格保密，禁止提交到其它的众测平台或对外发布；禁止利用发现漏洞实施非法活动；测试过程中发现的所有漏洞都需如实反馈，写进漏洞报告。

2. 测试过程不得损害业务正常运行，不得以测试漏洞借口尝试利用漏洞损害用户利益，影响业务的正常运行或盗取用户数据等行为。

3. 在测试过程中如包含数据获取功能时，包括但不限于SQL注入、用户资料的越权获取等，应采取手动测试，且获取的数据量不能超过3条，相关数据也需在报告后尽快删除。

4. 测试命令执行、数据库注入、webshell上传、供应链攻击等可直接威胁内网及数据库安全的漏洞，发现问题后需立马周知微众，经授权后才能进行横向移动，未经授权禁止植入后门或者对内网其他主机进行测试；

5. 需要遵守《微众银行安全应急响应中心（微众银行SRC）用户服务协议》，勿将页面截图、功能模块详情等外传泄露；

6. 测试命令执行漏洞时，证明漏洞即可，禁止植入文件或者对内网其他主机进行扫描测试；

7. 获取网站的权限时，禁止修改代码文件或植入后门等操作。

如有发现以下情况，对应白帽子将会加入黑名单，微众银行保留有进一步追究法律责任的权力：

1. 恶意利用漏洞故意泄漏微众银行数据行为；

2. 利用漏洞恶意删除我行系统文件或数据，故意破坏微众银行系统行为；

3. 发现微众银行漏洞提交到其它的众测平台或对外发布；

4. 发现漏洞故意不上报微众银行行为；

5. 利用发现漏洞实施其它非法活动行为；

6. 使用DDoS技术等暴力测试对微众银行系统进行攻击行为；

7. 任何以漏洞测试为借口，利用安全漏洞进行破坏、损害用户及微众银行利益的攻击行为。

*此活动最终解释权归微众银行SRC所有。

来源：freebuf.com 2021-07-07 18:40:33 by: 微众银行SRC