活动｜BKSRC组件命令执行漏洞专项测试活动三期开始啦～～～最后机会，欢迎上车～～～

贝壳安全应急响应中心 2024-07-16 18:31

点击蓝字 关注我们

活动时间：

7月17日10:00——7月24日24:00

收集范围

一、漏洞范围（以下条件均需满足）

1） 域名范围：.ke.com、.lianjia.com、.realsee.com、.ehomepay.com.cn、*.bkjk.com中贝壳找房直接发布的产品及服务
。

2） 漏洞类型：Struts2、Shiro、Fastjson、log4j的命令执行漏洞，不收取只能请求dnslog的证明报告。

二、奖励标准

1、基础奖金

活动期间，满足活动要求的漏洞基础奖励为6000元/个

2、阶梯奖金

活动期间，所有白帽小伙伴们提交的满足活动范围的有效漏洞，符合以下叠加数量要求，则所有漏洞享受新的奖励档位积分

5个及以上有效漏洞 7000元/个

8个及以上有效漏洞 8000元/个

12个及以上有效漏洞 9000元/个

例如：

活动期间，小A与小B一共提交了5个满足活动要求的有效漏洞，则他两提交的所有有效漏洞享受7000元/个的奖励标准。

活动期间，小A提交了8个满足活动要求的有效漏洞，则他提交的所有有效漏洞享受8000元/个的奖励标准。

简而言之，活动期间，我们收到更多的满足活动要求的有效漏洞，所有白帽小伙伴获得的单个漏洞奖金越高！！！！

最终奖励区间以后续公布为准

提交规则

1、
提交漏洞时标题请务必标注【专项活动】字样，如未标注，则按BKSRC日常漏洞收录规则进行相关审核，奖励标准适用日常奖励标准

2、提交地址：https://security.ke.com

3、
活动时间外默认按照BKSRC日常漏洞收录规则进行相关审核，奖励标准适用日常奖励标准

4、活动漏洞奖励将以积分的方式进行发放，需自行兑换

5、本活动不与其他活动叠加

6、本活动最终解释权归BKSRC所有，如有疑问，请联系运营

注意事项

1、禁止使用扫描器、压力测试等高并发程序扫描、攻击测试对象

2、测试完毕后，如有对账号的修改操作，请务必恢复，如：删除自己添加的测试数据等

3、测试命令执行、数据库注入、webshell上传、供应链攻击等可直接威胁集团内网及数据库安全的漏洞或情报，发现问题后需周知贝壳SRC，经授权后才能进行横向移动，未经授权禁止植入后门或者对内网其他主机进行测试；

4、恶意拖取数据、下载源码等越界行为，漏洞均0分处理，且贝壳找房有权利报案、举报、并配合刑事侦查机关提供相应证据；

5、参与测试的同学，需要遵守保密协定，勿将页面截图、功能模块详情等外传泄露；

6、测试SQL注入类漏洞时，应采取手工注入，且获取的数据量不能超过10组；

7、测试命令执行漏洞时，证明漏洞即可，禁止植入文件或者对内网其他主机进行扫描测试；

8、获取网站的权限时，禁止修改代码文件或植入后门等操作；

9、在漏洞测试过程中，须遵守BKSRC白帽测试规范，详情参见：https://security.ke.com/notices/details?id=15。

\ |
/

★

贝壳安全应急响应中心