墨客出战,攻守兼备!全新一季百度“墨客”挑战邀请赛将于5月15日正式开启,单个漏洞最高5万元丰厚奖金等你赢取!
本次百度“墨客”挑战邀请赛将聚焦远程代码执行和远程命令执行漏洞,以RCE漏洞为目标,覆盖百度各大业务,但暂不包括APP、客户端,而活动时间也将从5月15日持续开展至5月28日,并根据不同类别、级别的提交漏洞,给予1万元至5万元不等的现金奖励。特别是对于涉及集群逃逸的云原生漏洞,我们将予以特别关注。
众测范围
百度集团业务(暂不包括APP、客户端)
众测时间
2023年5月15日-2023年5月28日
奖励机制
RCE漏洞 不通内网 定额奖励1w/个
RCE漏洞 通内网 定额奖励3w/个
云原生漏洞 涉及集群逃逸 最高奖励至5w/个
注意:为避免影响荣誉榜排名,以及月度奖励发放,RCE漏洞不通内网定级高危,评分400分,RCE漏洞通内网定级高危,评分600分,云原生漏洞涉及集群逃逸定级严重,评分1000分,奖励不足部分另外发放
漏洞提交相关说明
提交漏洞时,漏洞标题请注明【RCE】+漏洞名称,如【RCE】+某业务线一处XX漏洞。如提交漏洞未注明本次活动,此漏洞将不参与众测奖励,只享受常规安全币奖励,不在众测范围内的漏洞请勿添加众测标题。
测试注意事项
1. 禁止使用扫描器、压力测试等高并发程序扫描、攻击测试对象。
2. 尽量避开业务高峰期进行测试,高峰期时间段18:00-23:30。
3. 白帽子根据漏洞对业务的危害进行客观等级自评,且不在众测范围内的漏洞不要添加众测标题。
4. 在漏洞测试过程中,须遵守渗透测试原则,严格遵守《网络安全法》的规定,对于上传webshell、恶意拖取数据、下载源码等越界行为,漏洞均0分处理,且百度有权利报案、举报、并配合刑事侦查机关提供相应证据。
5. 为了保护百度产品及业务的安全,降低用户安全风险,不得将未公开漏洞提供给境外组织或者个人。
6. 测试过程中不得获取数据,如确有必要,不得超过10条;如利用漏洞能够直接获得数据库写入权限,直接写入的数据条数不得超过2条;严禁大规模遍历数据的行为。
7. 白帽子在渗透测试中应遵守《百度安全应急响应中心(BSRC)服务协议》。
关于百度“墨客”挑战邀请赛
百度“墨客”挑战邀请赛由百度安全在2021年创立,旨在基于百度全域业务资产,邀请国内网络安全社区领先蓝军战队分阶段向红方防线发起“挑战”。所谓备者,国之重也。以“救守”之理念应对兵者诡道,明为墨攻,实为墨守,检验百度产品服务防护能力,展开贴近实战的攻防演练,共同推动安全体系的持续进化。
