关于TSRC收回目前年榜第一大部分赏金的新闻前情提要请查看文章:
本文做解析。
首先,从已知信息可得知,该白帽提交的漏洞有很大一部分为企业微信邮箱XSS,共计116个报告,其中已处理90个,TSRC方面认为,根据《TSRC漏洞处理和评分标准》中“评分标准通用原则”第四条的相关规定:“通用型漏洞或同一个漏洞源(同一组件、产品、系统)产生的多个同类问题一般计漏洞数量为一个,并根据漏洞实际报告情况给予一定的额外倍数奖励”。
原文截图:
据目前的描述,该白帽提供的报告确实符合TSRC规则中的“同一个漏洞源产生的多个同类问题”,但该白帽提出,提交的报告中,有很多都是等待TSRC修复后,再次绕过并提交的,不应该将修复后再次绕过的报告和之前的xss报告归类。
分歧点如下:
src方秉承规则,在大体上,该白帽的相关xss报告确实为“同一个漏洞源产生的多个同类问题”,应当归类;白帽一方认为修复后再次绕过的报告属于新漏洞,不应该被合并,存在不合理的地方。
截止本文发出时,TSRC排行榜已恢复正常:
TSRC的处理结果很多不挖src的朋友看不懂,这里讲一下,TSRC一个安全币可兑换五元,处理结果中,原报告累积68386个安全币,即341930元人民币,修改后为2412个安全币+3万元人民币额外奖励,即42060元人民币,差距为299870人民币。
另外,因奖励更改导致原本极有可能获得的年终奖励可能受到影响,其价值也高达30万人民币,值得一提的是,相关白帽在群聊中透漏自己已经挖了80多万奖励,更是有十多万还在审核中,而目前我们已知信息中涉及安全币金额只有30w+,是否存在其他同类系统报告受到影响我们不得而知。
目前TSRC方仍在和相关白帽沟通,让我们期待后续的进展,对此,你有什么看法?欢迎评论区留言。
广告时间:
☟上下滑动查看更多
原文始发于微信公众号(棉花糖fans):解析:TSRC百万赏金猎人奖励被收回的细节
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论