Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:11205 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
本周热门文章
使用msf入侵多层级网络架构   2020.06.01 08:00:32  75
关于站库分离渗透思路总结   2020.05.28 18:37:17  60
Fastjson <=1.2.68 远程代码执行漏洞   2020.06.02 00:00:32  57
铁头娃的渗透测试   2020.05.31 09:49:53  57
使用yarGen提取Linux恶意脚本特征   2020.05.30 18:00:34  54
“Sauron Locker”家族病毒新变种   2020.05.31 18:00:11  52
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
八周年福利第三弹!TSRC单个漏洞百万奖励计划正式启动!
本文来自公众号:腾讯安全应急响应中心   2020.05.22 10:30:39


赛博世界,风潮暗涌。


安全圈众白帽之士前赴后继,为众企业提漏洞,护安全,共同守护了亿万用户的数据与财产安全。

为表感谢,在腾讯安全应急响应中心(TSRC)八周年之际,TSRC团队全面升级漏洞奖励机制,以 更多的奖励回馈众多安全志士。

同时,从即日起,TSRC将针对腾讯自主服务器操作系统、腾讯自研物联网操作系统,正式推出 「单个漏洞百万奖励计划」 ,诚邀各位正义之士共同发现可能存在的安全漏洞,并将漏洞直接报告给TSRC,用代码的力量守护腾讯的安全。

活动持续全年,单个漏洞最高奖金将达到100万元人民币!还在等什么?一起来加入这场正义之战吧!


活动详情如下

↓↓↓


活动时间

即日起至2020年12月31日


活动范围

对象

说明

下载地址

TencentOS  Server

TencentOS  Server( 又名Tencent Linux 简称Tlinux) 是腾讯针对云的场景研发的 Linux 操作系统,提供了专门的功能特性和性能优化,为云服务器实例中的应用程序提供高性能,且更加安全可靠的运行环境。Tencent Linux 使用免费,在 CentOS(及发行版)上开发的应用程序可直接在 Tencent Linux 上运行,用户还可持续获得腾讯云的更新维护和技术支持。

https://github.com/Tencent/TencentOS-kernel

TencentOS  Tiny

TencentOS tiny是腾讯面向物联网领域开发的实时操作系统,具有低功耗,低资源占用,模块化,安全可靠等特点,可有效提升物联网终端产品开发效率。TencentOS tiny 提供精简的 RTOS 内核,内核组件可裁剪可配置,可快速移植到多种主流 MCU (如STM32全系列)及模组芯片上。而且,基于RTOS内核提供了丰富的物联网组件,内部集成主流物联网协议栈(如 CoAP/MQTT/TLS/DTLS/LoRaWAN/NB-IoT  等),可助力物联网9终端设备及业务快速接入腾讯云物联网平台。

https://github.com/Tencent/TencentOS-tiny


奖励标准及机制

根据漏洞的危害程度分严重、高危两个级别,具体说明及奖励机制如下:

漏洞级别

漏洞说明

奖励标准

严重

远程RCE漏洞,利用漏洞能够获取服务器root权限的shell

逃逸漏洞,利用os kernel漏洞能够从虚拟机逃逸到母机获取母机root权限的shell

最高100万人民币

高危

本地提权漏洞,利用漏洞能够从普通用户权限提升为root权限,并可执行任意系统命令

远程拒绝服务漏洞,不依赖其他第三方组件,利用OS内核漏洞攻击能够导致服务器宕机

本地拒绝服务漏洞,利用漏洞能够从虚拟机攻击导致母机宕机

最高30万人民币

1、请从上述下载地址下载对应系统,在本地进行测试,禁止在腾讯现网环境进行测试。

2、奖励范围仅包含OS系统本身,不包括自行安装的第三方软件/组件。

3、必须提供有效复现EXP,具体漏洞评级奖励将参考CVSS实施。

4、漏洞测试和提交准则请参照《腾讯外部威胁情报处理流程》和遵守《SRC行业安全测试规范》。


TSRC漏洞提交基本原则

1、测试过程不得损害业务正常运行,不得以测试漏洞借口尝试利用漏洞损害用户利益,影响业务的正常运行或盗取用户数据等行为。

2、禁止内网渗透行为,包括但不限于利用 SSRF 或其他漏洞扫描内网、尝试系统提权等行为。

3、禁止进行网络拒绝服务攻击,包括但不限于 DoS、 DDos、CC 或其他明确在尝试前可知会影响服务稳定性的拒绝服务攻击。

4、禁止下载和业务相关的敏感数据,包括但不限于源代码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除。

5、在测试未限制发送次数的短信功能时,需填写自己的手机号,禁止对其他用户号码进行尝试。

6、禁止使用可能造成业务影响的漏洞尝试工具,包括但不限于 SQLMap 等,使用时需确认不会对业务数据造成破坏性的影响。

7、在测试过程中如包含数据获取功能时,包括但不限于 SQL 注入、用户资料的越权获取等,应尽可能的采取手动尝试,且获取的数据量不能超过10 组,相关数据也需在报告后尽快删除。

8、测试越权尝试或其他可能影响用户数据的操作时,需尽可能将尝试控制在自己创建的多个账号生成的内容中,不得影响到线上业务中其他用户的正常数据。

9、禁止通过物理接触、社会工程学、钓鱼、水坑等不涉及 TSRC 奖励计划的非技术漏洞尝试。

10、我们反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏,损害腾讯系统及腾讯用户的利益的攻击行为,对相关行为我们保留追究法律责任的权利。

11、漏洞测试和提交准则请参照《腾讯外部威胁情报处理流程》和遵守《SRC行业安全测试规范》。

其他补充说明

在漏洞处理过程中,如果报告者对处理流程、漏洞评定、漏洞评分等具有异议的,请通过当前漏洞报告页面的评论功能或者页面中的 “一键联系处理人员”、“联系值班人员” 的按钮及时沟通。腾讯安全应急响应中心将根据漏洞报告者利益优先的原则进行处理,必要时可引入外部人士共同裁定。更多详情请参照“腾讯外部漏洞报告处理流程”。



我们是TSRC

互联网安全的守护者

用户数据安全的保卫者

我们找漏洞、查入侵、防攻击

与安全行业精英携手共建互联网生态安全

期待正能量的你与我们结盟!


微信号: tsrc_team