活动 | 谁是3月最富有的人?

漏洞提交地址:https://security.58.com

 

活动简介

听说,3月财运最好的人群是:

No.1 来58SRC挖洞的帅哥美女们!!

No.1 来58SRC挖洞的帅哥美女们!!

No.1 来58SRC挖洞的帅哥美女们!!

没错,就是你~

 

活动时间

2021年3月3日~2021年3月31日

 

活动地点

漏洞提交地址:58SRC官网(https://security.58.com)

 

主办方

58安全应急响应中心

 

活动详情

58SRC定向众测活动第五期重磅来袭

详情见下方

一般人我不告诉他

 

一、测试范围

58同城系统:个人中心-认证管理、个人认证和企业认证

 

二、活动奖励

以漏洞实际等级为基本依据,根据报告质量和漏洞类型有浮动。本次活动仅奖励金币,不奖励rank积分,不算排名。

1)严重漏洞奖励基准: ¥6000

2)高危漏洞奖励基准: ¥3000

3)中危漏洞奖励基准: ¥800

4)低危漏洞奖励基准:无

5)黑产调研任务奖励: 见下方黑产调研任务表格

 

三、漏洞提交说明

1、漏洞提交地址:58SRC官网(https://security.58.com);

2、提交名称格式为(众测5-漏洞名称), 如提交漏洞格式不符合,此漏洞将不参与众测奖励。不在众测范围内的漏洞请勿添加众测标题。

3、本次定向测试所提交的漏洞不参与月度、季度奖励评比;并且,不与其他活动奖励同享。

4、本次有效的测试范围在:个人中心-认证管理、个人认证和企业认证。

5、58SRC对本次活动相关规则保留最终解释权。

 

 四、SRC认证众测规则

1、测试目标:发现已经存在或潜在的如下类型漏洞、风险或情报。

(1)完成黑产调研任务;

(2)身份信息不一致,可认证成功;

(3)绕过正常程序流程,可认证成功;

(4)个人认证、企业认证、敏感数据泄露;

(5)能够或已经实施前所述行为的黑产情报、黑产工具/代码。

2、漏洞有效性认定:完全满足下列任意1条,即可认定为有效漏洞、风险、情报或攻击。如果存在单条漏洞、风险、情报或攻击符合多条标准的,按定级较高的进行认定。

(1)黑产调研任务,每期至少需5人提交,以确保数据可靠性:

(2)身份信息不一致,可认证成功:

(3)绕过正常程序流程,可认证成功:

(4)个人认证、企业认证、特殊资质认证等敏感数据泄露:

a)要求泄露来源为58相关站点内

i.包括但不仅限于人脸认证、银行卡实名、手持身份数据泄露;

ii. 包括但不仅限于营业执照法人、对公账号、营业执照数据泄露;

b)较为模糊、有水印、去水印、P图、不可再次使用的营业执照或证件图片,不属于泄露范畴。

(5)其他黑产威胁情报、黑产工具:

a)有效情报形式:          

i.提供黑产已进行了前述问题相关攻击的情报,如用于自动过认证的工具、网站、接口、数据库等;        

ii.提供具体可以实施前述问题相关攻击的黑产工具、售卖工具的网站、售卖工具的qq或微信联系人等;  

b)有效情报认定情报本身需满足前述对应类型报告的审核要求;  

c)奖励倾斜        

 i.若白帽子没有进行有效的情报/工具分析,亦没有其他协助处置的行为,报告奖励将按对应类型及等级的奖励*0.9发放;        

 ii.若白帽子主动进行了情报/工具分析,且达到“还原了攻击原理、漏洞原理“程度的,将给与奖励金额*1.1至1.3的奖励倾斜; 

d)提交报告内容        

i.对应问题类型的报告内容;     

 ii.其他有效的协助处理、分析的内容(非必要)

 

五、定级与奖励标准

除非另有说明,一般一份报告只能收到一次性金币奖励,目前所有类型的问题统一按定级给与金币奖励,审核人员有权根据实际情况提升定级和奖励标准,部分问题类型仅接受部分级别的问题报告,具体请参看下表,若有不明之处,请及时联系运营。

扫码关注,我们在等你

58安全应急响应中心希望与业界同仁共同建立诚信、安全、可靠的安全平台。同时通过白帽英雄们反馈的58集团漏洞和威胁情报,不断提升58产品和业务的安全。

(完)