【众测活动】双倍奖金的深信服SRC七夕活动来了 师傅您不可错过

作者:sangfor公布时间:2021/08/05

【活动时间】


2021年8月6日0点-2021年8月10日24点


【参与产品】


A类:

SSL VPN(M768R2+补丁包,登录后后台漏洞除外算C类)

aTrust(2.1.8)

EDR(3.5.6)


B类:

CWPP(3.2.32_B10)

AD(7.0.8R4)

VDI(5.4.10)

SIP(SIS 3.0.57\STA 3.0.27\NTA 2.0.7)


注:

  1. 补丁包信息详情可在深信服安全应急响应中心官网-【安全公告】-【资产更新】中查看,补丁包版本可从/app/appversion查看。

  2. 活动不包含客户端



【收录标准】


1、以上A类和B类产品,中危及以上的漏洞,符合收录标准,在漏洞确认后奖金翻倍。注:SSL VPN 443端口未授权RCE 50w奖励不进行翻倍。

2、活动结束后提供按照活动期间积分排名颁发一二三等奖和奖金。


3、内部已知的漏洞不进行翻倍奖励,按照平日流程降级处理。


4、已经修复的漏洞或者重复其他外部人员所提交的漏洞,驳回处理。


5、非第三方的通用型漏洞(如由同一个漏洞源*(定义见附录2)产生的多个漏洞)一般计漏洞数量为一个。例如同一个JS引起的多个XSS漏洞、同一个发布系统引起的多个页面的XSS漏洞、框架导致的整站XSS/CSRF漏洞、泛域名解析产生的多个XSS漏洞、同一域名下同一组件产生的多个flash xss漏洞等。


6、本次活动基于“【漏洞评分和奖励标准】深信服安全应急响应中心漏洞审核标准和奖金奖励机制”对漏洞进行审核。


【参与流程】


1、活动开始前,参与活动的白帽子需要上深信服SRC平台注册账号。


注册链接:

https://security.sangfor.com.cn/user.php?m=&c=reg&a=index


2、活动于2021年8月6日零点正式开始,参与活动的白帽子可对指定的产品进行渗透测试。


注:本次活动暂不提供环境。


3、参与活动的白帽子需记录渗透测试或审计过程和步骤,并将漏洞复现过程和漏洞详情(须包含复现截图和具体POC/EXP)提交至深信服安全应急响应中心。提交时漏洞标题须加上本次活动标签:【SSRC七夕活动】。


【活动规则】


1、本次活动中漏洞评定标准基于深信服安全应急响应中心已经发布的最新版《深信服安全应急响应中心漏洞审核标准和奖金奖励机制》。


《深信服安全应急响应中心漏洞审核标准和奖金奖励机制》链接:

https://security.sangfor.com.cn/index.php?m=&c=blog&a=view&id=16


2、深信服SRC运营人员对所有参与人员提交的漏洞审核通过后将记录在案,活动结束后统一发放奖金和额外奖励。


3、所有报告上交成功后,深信服SRC运营人员将在三个工作日内给出审核结果(漏洞无法确认情况除外)。若有无法确认情况(如条件不明无法复现),需要咨询漏洞提交者,深信服运营人员将通过留言告知,提交者可在报告页面留言框内进行留言,或通过官方邮箱或微信联系深信服运营人员。活动截止时,深信服运营人员如仍然无法联系到的提交者,其所提交的无法确认的漏洞报告将直接进行忽略处理。


4、本次活动中不允许存在代交行为。如有代交漏洞行为,一经发现则取消本次活动参与资格和所获奖励。


5、活动截止时,最终结果将在深信服SRC统计验收完毕后,公布于深信服SRC平台与深信服安全应急响应中心微信公众号。