漏洞马拉松2024 | 积分赛阶段冲刺ing，半区见真章！

漏洞盒子VulBox 漏洞盒子VulBox 2024-12-09 11:59

燃起来了！

距离漏洞马拉松积分赛结束还有7天！

赛区记者挖蛙带来前线赛况！

截止至12月9日，

雷霆战区，YangYY以615分位居第一，

超神战区，O神以460分同样稳居榜首！

各区12强的角逐进入白热化阶段，

第三弹SRC活动
也快马加鞭地到达战场

祝大家乘势而上，弯道超车！

SRC活动

01

荣耀 SRC

HONOR SRC

HONOR SRC 活动详情

活动时间：12月9日-12月22日

活动奖励：

1. 
高危、严重漏洞2倍奖励

2. 
中危漏洞1.5倍奖励

提交地址：🔗https://security.honor.com/src/#/home

并同步标题至盒子【2585期】
项目

https://user.vulbox.com/projectHall/projectDetail/2585

活动范围：

《荣耀互联网服务安全奖励计划规则 V1.1》

https://security.honor.com/src/#/announcement/detail?code=345595866324262912340802164

《荣耀终端安全奖励计划规则》

https://security.honor.com/src/#/announcement/detail?code=1357192657478369281134761867

温馨提示：禁止使用扫描器对业务扫描

02

京东SRC

JSRC

JSRC 活动详情

马拉松高危奖励

活动时间：12.9~12.23

提交地址：🔗https://security.jd.com/

并同步标题至盒子【2681期】
项目

https://user.vulbox.com/projectHall/projectDetail/2681

活动范围：京东全业务

奖励范围：

1.一般业务、核心业务高危及严重
双倍奖励

2.首个提交有效高危白帽可额外获得
1000现金奖励
（按照提交时间计算，非漏洞确认时间）

3.活动期间个人提交有效严重、高危漏洞积分（积分≥2000，且提交有效高危个数≥5）

TOP1:5000元

TOP2:3000元

TOP3:1000元

反爬专项奖励

活动范围：京东集团所有app、web/h5、小程序/m、京东集团B端

漏洞评级：主要从端、有无账号、单账号产能和单账号存活周期、以及账号规模评定

SKU列表：https://joyspace.jd.com/sheets/b2TrrOxNitZvUJnhdA38

仅限以下品类：

# 收取类型一：可爬取评论数据

报告奖励标准：

# 收取类型二：可爬取商品价格

报告奖励标准：

报告提交标准：

1、报告标题添加【反爬专项】

2、公司部门选择京东反爬

3、接口地址

4、价格/评论明细文档

5、账号、请求日志、脚本代码、接口地址、sku_id、sku名称、sku真实价格、优惠信息/商品评论总数/销量总数爬取明细等

漏洞报告无法上传文档，请使用JoySpace共享文档，将文档链接附在报告中。

如何使用JoySpace交付文档保姆级教学： 

1、请登陆joyspace.jd.com 

2、点击扫码登录下方的【京东账号登录】 

3、可新建文档/表格 

4、分享中设置访问范围为内部公开 

5、将链接粘贴致漏洞报告中 

6、完成

注意事项：

1、爬取过程中请务必不要超过100qps，不得发起大量请求

2、爬取到价格为当天真实到手价为有效情报，红字价等于到手价的skuid数量要<=50%

3、B端接口、非京东主站APP（如：京东极速版、京喜、京东养车等）接口漏洞等级自动降一级

4、接口拼接自动降一级

5、在接口返回值中，获取清单内 sku下精准的价格/评论数/销量数和真实总数误差<=5%则认为是有效情报

6、报告收取以提交时间为准，相同报告下只对第一时间提交报告的发放奖励

7、对于测试中使用的非京东普通用户账号，必须说明账号来源，无法追溯的账号将被视为非法使用或借用

8、不可通过三方数据公司获取数据

9、不得公开测试过程细节

众测项目

【3065】期

活动时间：

12月6日-12月31日

漏洞提交地址：🔗https://user.vulbox.com/projectHall/projectDetail/3065

测试范围：

1）全业务线对外平台安全漏洞；.textin.com、.camscanner.com、.camcard.com、.qixin.com、.intsig.com、.juzijianzhi.com

2）隐私合规、AIGC内容合规等合规类风险暂不接收，不参与活动。

奖励范围：

活动期间，有效漏洞
双倍奖励

【3052】期

漏洞提交地址：🔗https://user.vulbox.com/projectHall/projectDetail/3052 

马拉松活动奖励：

APP活动价格：每个有效高危
奖励1000元。

其他资产活动价：每2个高危
奖励1000元。

漏洞马拉松·测试要求

1.漏洞标题需带上【漏洞马拉松2024】前缀，视作参加活动。

2.漏洞提交至各家SRC平台，请注意同步漏洞标题至盒子相应项目，以便及时获得相应活动权益。

3.测试期间需严格遵守各家SRC测试注意事项、保密协议相关规定，不影响正常业务情况下进行测试，不得以测试漏洞为借口，进行漏洞利用。

4.未经书面许可，如您以任何形式公开已提交的漏洞，我们将扣除已确认奖励，并保留追究您违约或侵权行为的权利。

活动主办方

合作SRC

（以上排列不分先后顺序）

活动中如有任何问题

请联系小莎莎QQ：3459476393