快上车，12天到手20万的众测活动终于又来了！ – 作者:百度安全应急响应中心

BSRC推出重磅翻倍活动

上一次的众测活动

榜一的师傅12天到手20W+

这一次 就看你的了~

奖励规则

众测范围：百度全域

提交地址：https://bsrc.baidu.com

众测活动时间：2021.3.8 10:00-2021.3.19

众测活动奖励形式：

高危漏洞/情报：4倍安全币奖励

严重漏洞/情报：5倍安全币奖励

威胁情报：提交漏洞时请在漏洞类型处勾选【入侵事件安全情报】，有效情报即送百度周边礼品1份，每个ID限1份

除了丰厚的众测翻倍奖励

BSRC还有日常活动奖励计划

可与此次活动叠加

个人前三可获得5k、3k、1k的额外奖励

团队奖励最高获得当月安全币（翻倍前）总额

具体奖励规则可点此查看

漏洞评分标准及相关说明

漏洞评审处理流程参照【BSRC漏洞处理流程6.0版本】

活动期间，中危、低危漏洞BSRC照常接收 ；常见漏洞测试方法说明：1、SSRF测试认定方法如果可以访问到http://10.199.7.105/，第一行将输出一个40位的字符串作为flag，第二行为1024位的字符串，可获取到flag，认为是有回显的SSRF，请将此flag在提交漏洞时附上。可获取到flag及其后的1024位字符串，认为是完全回显SSRF。 不同的回显程度会对应不同的打分，同时请不要尝试访问其他内网站点，以免造成不必要的影响。 2、SQL注入测试认定方法SQL注入证明可获取数据即可，证明能读取user()、database() 即可，或者由我们进行验证。同时请勿恶意获取数据（超过20条）。3、命令执行类漏洞验证方式：仅允许执行验证性命令（whoami/hostname/ifconfig/pwd），禁止其他恶意操作（如反弹shell、扫描内网等）4、上传类漏洞验证方式：仅可上传php文件内容为phpinfo();或echo md5(“123456”)

注意事项

测试验证数据应控制在10条范围内，否则将计0分处理，并保留追究法律责任的权利，漏洞危害级别根据漏洞影响而定，即同一个类型的漏洞其危害等级不一样，会根据其实际影响而决定，请仔细阅读《BSRC用户协议》及漏洞测试规范（详见BSRC公告），以避免由此带来的风险。

注：本次奖励安全币会在后台发放，不影响月榜单排名

来源：freebuf.com 2021-03-03 13:50:15 by: 百度安全应急响应中心