活动 | 微众银行SRC 单个漏洞悬赏11万!

  • A+
所属分类:安全新闻

活动 | 微众银行SRC 单个漏洞悬赏11万!

活动简介

活动 | 微众银行SRC 单个漏洞悬赏11万!

活动详情

悬赏范围:

官网www.webank.com,微众银行APP,微粒贷(手Q、微信等客户端中集成)

悬赏赏金:

高危漏洞50000-70000元人民币

严重漏洞90000-110000元人民币

悬赏时间

2020年6月5日至2020年6月22日

奖励标准及机制

根据漏洞的危害程度分高危、严重两个级别,具体说明及奖励机制如下:

漏洞等级(积分范围) 现金奖励范围(人民币) 对应安全币
高危(6分-8分) 50000元 60000元 70000元 10000 12000 14000
严重(9分-10分) 90000元 110000元   18000 22000

*具体实际奖励会根据漏洞的危害性、影响情况等在范围内浮动。

 

WeBank SRC漏洞提交基本原则

*活动中只收取高危及以上等级的漏洞,根据漏洞等级给出对应的奖励。

  • 1、以上奖励均以安全币的形式发放;1安全币=5元人民币。
  • 2、以上奖励的奖励范围为悬赏所指的业务范围,不包含其他业务。
  • 3、如白帽子对《微众银行安全应急响应中心(微众银行 SRC)用户服务协议》违约,或者未按照规定进行安全测试,将扣除所属漏洞的全部奖励,严格按照协议中的违约行为处理。
  • 4、提前对外公布细节、虚假漏洞、已知重复漏洞等行为不予奖励。
  • 5、活动期间如遇到其他活动,按奖励高的一种发放。
  • 6、漏洞测试和提交准则请参照《微众银行src漏洞处理和评分标准》和遵守《SRC行业安全测试规范》。

 

注意事项及法律法规

在漏洞挖掘过程中,发现的相关漏洞应严格保密,

禁止提交到其它的众测平台或对外发布;

禁止利用发现漏洞实施非法活动;

测试过程中发现的所有漏洞都需如实反馈,写进漏洞报告。

  • 1、测试过程不得损害业务正常运行,不得以测试漏洞借口尝试利用漏洞损害用户利益,影响业务的正常运行或盗取用户数据等行为。
  • 2、在测试过程中如包含数据获取功能时,包括但不限于 SQL 注入、用户资料的越权获取等,采取手动测试,且获取的数据量不能超过,相关数据也需在报告后尽快删除。
  • 3、测试命令执行、数据库注入、webshell上传、供应链攻击等可直接威胁内网及数据库安全的漏洞,发现问题后需立马周知微众,经授权后才能进行横向移动,未经授权禁止植入后门或者对内网其他主机进行测试;
  • 4、需要遵守《微众银行安全应急响应中心(微众银行 SRC)用户服务协议》,勿将页面截图、功能模块详情等外传泄露;
  • 5、测试命令执行漏洞时,证明漏洞即可,禁止植入文件或者对内网其他主机进行扫描测试;
  • 6、获取网站的权限时,禁止修改代码文件或植入后门等操作;

 

如有发现以下情况,对应白帽子将会加入黑名单,微众银行保留有进一步追究法律责任的权力:

  • 1)恶意利用漏洞故意泄漏微众银行数据行为
  • 2利用漏洞恶意删除我行系统文件或数据,故意破坏微众银行系统行为
  • 3)发现微众银行漏洞提交到其它的众测平台或对外发布
  • 4)发现漏洞故意不上报微众银行行为
  • 5)利用发现漏洞实施其它非法活动行为
  • 6)使用DDoS技术等暴力测试微众银行系统进行攻击行为
  • 7)任何以漏洞测试为借口,利用安全漏洞进行破坏、损害用户及微众银行利益的攻击行为

活动 | 微众银行SRC 单个漏洞悬赏11万!

 

本文来源于互联网:活动 | 微众银行SRC 单个漏洞悬赏11万!

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: