一起甜蜜蜜，TSRC七夕眾測開沖～

如果你突然打了個噴嚏，那一定是我掛住你～

七夕臨近，TSRC特別發起專項眾測活動，給你四倍獎勵、多倍甜蜜！

活動范圍內，提交高危漏洞將獲得兩倍積分、嚴重漏洞獲四倍積分。

為騰訊核心業務或重點業務提供高質量嚴重漏洞報告的師傅，TSRC還將授予月度即時現金獎勵。

活動期間內，貢獻值TOP10的師傅還將額外獲得TSRC中秋禮盒1份。

你填地址，我們幫你寄給TA

沖嗎？沖鴨！

這個七夕，讓我們一起甜甜蜜蜜！

活動詳情

時間：即日起-2022月8月12日（周五） 18:00

范圍：

針對TSRC收集范圍內的三類特定漏洞類型（服務器RCE漏洞、全回顯SSRF漏洞、用戶重要敏感數據泄露漏洞），且需符合以下條件：

1、服務器RCE漏洞

要求可以獲取騰訊自營業務服務器權限

2、全回顯SSRF漏洞

要求可以利用并訪問

同時獲取到頁面 flag 的全部內容

3、用戶重要敏感數據泄露

可導致大量用戶敏感數據泄露（如：用戶真實姓名、身份證、手機號、住址、交易記錄、醫療信息等等），要求包含兩個及以上敏感字段。

獎勵機制

1、上述符合條件的漏洞中，在TSRC現有評分規則基礎上

高危漏洞：2倍安全幣

嚴重漏洞：4倍安全幣

2、TSRC月度即時現金獎

符合TSRC即時現金獎勵標準的嚴重漏洞，根據產品情況不同授予稅后 1～5 萬或以上人民幣的獎勵。

3、TSRC月餅禮盒

在活動時間內（即日起-2022月8月12日 18:00），貢獻值TOP10的師傅還將獲得TSRC中秋禮盒一份。小編將于活動結束后與獲獎師傅確認地址，統一寄出。

參與方式

1、提前報備

為方便快速定位，本次眾測活動中的所有漏洞測試行為需提前報備，未經提前報備的測試結果不享受活動獎勵。

2、TSRC官網提交

漏洞名以“七夕眾測”開頭

漏洞提交基本原則

1、測試過程不得損害業務正常運行，不得以測試漏洞借口嘗試利用漏洞損害用戶利益，影響業務的正常運行或盜取用戶數據等行為。

2、禁止內網滲透行為，包括但不限于利用 SSRF 或其他漏洞掃描內網、嘗試系統提權等行為。

3、禁止進行網絡拒絕服務攻擊，包括但不限于 DoS、 DDoS、CC 或其他明確在嘗試前可知會影響服務穩定性的拒絕服務攻擊。

4、禁止下載和業務相關的敏感數據，包括但不限于源代碼、運營數據、用戶資料等，若存在不知情的下載行為，需及時知廠商并刪除。

5、在測試未限制發送次數的短信功能時，需填寫自己的手機號，禁止對其他用戶號碼進行嘗試。

6、禁止使用可能造成業務影響的漏洞嘗試工具，包括但不限于 SQLMap 等，使用時需確認不會對業務數據造成破壞性的影響。

7、在測試過程中如包含數據獲取功能時，包括但不限于 SQL 注入、用戶資料的越權獲取等，應盡可能的采取手動嘗試，且獲取的數據量不能超過 10 組，相關數據也需在報告后盡快刪除。

8、測試越權嘗試或其他可能影響用戶數據的操作時，需盡可能將嘗試控制在自己創建的多個賬號生成的內容中，不得影響到線上業務中其他用戶的正常數據。

9、禁止通過物理接觸、社會工程學、釣魚、水坑等不涉及 TSRC 獎勵計劃的非技術漏洞嘗試。

10、我們反對和譴責一切以漏洞測試為借口，利用安全漏洞進行破壞，損害騰訊系統及騰訊用戶的利益的攻擊行為，對相關行為我們保留追究法律責任的權利。

11、漏洞測試和提交準則請參照《TSRC漏洞處理和評分標準》，并遵守《TSRC安全測試規范》及《SRC行業安全測試規范》。

其他說明

在漏洞處理過程中，如果報告者對處理流程、漏洞評定、漏洞評分等具有異議的，請通過當前漏洞報告頁面的評論功能或者頁面中的“一鍵聯系處理人員”、“聯系值班人員”的按鈕及時溝通。騰訊安全應急響應中心將根據漏洞報告者利益優先的原則進行處理，必要時可引入外部人士共同裁定。