【众测活动】双11“回血”局 | 双倍奖金+1111元额外奖励,错过就亏大了

作者:sangfor公布时间:2022/01/05

【活动时间】


2021年11月11日0点-2021年11月17日24点


【参与产品】


image.png

l

版本:

SSL VPN(M768R2+补丁包,登录前漏洞)、aTrust (2.1.12)

CWPP(3.2.32_B10)、AF(8.0.50)、VDI(5.5.0)

注:

1、补丁包信息详情可在深信服安全应急响应中心官网-【安全公告】-【资产更新】中查看,补丁包版本可从/app/appversion查看。

2、该资产版本号并不是资产最新版本,深信服社区同理。


【收录标准】

 

    指定A类和部分B类产品和版本下的高危以上的漏洞,符合收录标准的漏洞在确认后奖金翻倍。活动结束后提供按照活动期间积分排名颁发额外给前三名白帽子发放“1111”奖金

 

1.活动结束后提供按照活动期间积分排名颁发额外给前三名白帽子发放“1111”奖金

2.内部已知的漏洞不进行翻倍奖励,直接降级处理,与平日处理流程无异(主要评判点基于所上交的漏洞报告信息)。

3.已经修复的漏洞或者重复其他外部人员所提交的漏洞(即撞洞),直接驳回处理。

4.SSL VPN 443端口未授权RCE 50w奖励不进行翻倍,该奖励金额不纳入奖金池计算。

 

说明:

1.“1111”奖金:发放111.1金币至账户中,提现需要用户提交礼品兑换订单,处理流程和时长跟随每月例行奖励兑换流程进行。

2.“内部已知”:深信服内部人员发现但未修复或修复未闭环的漏洞

例如:张三提交“SIP越权修改普通用户密码”漏洞。该漏洞被认定为内部已知,漏洞资产依然为B类。若原评级为中,降级后评级为低,奖励为100-200金币之间,不再进行奖励翻倍。

3.内部已知凭证:提供内部SDL平台漏洞记录、漏洞点截图等信息

4.已修复凭证:发布或更新的补丁号、版本号等

5.撞洞凭证:优先提供CNVD\CNNVD或深信服SRC编号,若无则审核人员将联系漏洞提交者说明情况。

6.“活动结束”:指活动时间截止或奖金池耗尽,本次活动奖金池设立为50万。


【参与流程】

 

1)活动开始前,参与活动的白帽子需要上深信服SRC平台注册账号。注册页面:https://security.sangfor.com.cn/user.php?m=&c=reg&a=index

2)2021年11月11日提供众测环境信息,届时详情请关注深信服SRC官网“安全公告”处的公告信息。

3)2021年11月11日至2021年11月18日活动期间,参与人员利用对指定的产品进行渗透测试。

4)记录渗透测试或审计过程和步骤,并将漏洞复现过程和漏洞详情(须包含复现截图和具体POC/EXP)提交至深信服安全应急响应中心。提交时漏洞标题须加上本次活动标签:【双十一】。

 

【靶标信息】


产品

环境版本

环境地址

SSL VPN

768R2+补丁

活动已结束,环境关闭,谢谢参与

CWPP

3.2.33 

AF

8.0.50

VDI

5.5.0

aTrust

2.1.12

 

注意事项:

1、本次众测靶标环境暂不提供测试账户。

2、禁止长时间影响系统性能暴力发包扫描测试,尽量手测;请勿进行可能影响服务稳定的测试,如DoS等。

3、可能影响系统的Payload请在测试验证漏洞存在后及时删除;

4、请勿扰乱其他测试选手进行测试,不要破坏主机环境

 

【活动规则】

 

1)本次活动中漏洞评定标准基于深信服安全应急响应中心已经发布的【漏洞评分和奖励标准】深信服安全应急响应中心漏洞审核标准和奖励机制最新版: https://security.sangfor.com.cn/index.php?m=&c=blog&a=view&id=16

2)深信服SRC运营对所有参与人员提交的漏洞审核通过后将记录在案,活动结束后统一发放奖励(正常奖励和额外奖励统一发放)。

3)所有报告上交成功后三个工作日内给出审核结果(漏洞无法确认情况除外)。若有无法确认情况(如条件不明无法复现),需要咨询漏洞提交者,运营通过留言告知,提交者可及时通过报告留言、官方邮箱或微信联系。活动截止时,运营仍然无法联系到的提交者,所提交的无法确认的漏洞报告将直接进行忽略处理。

4)本次活动中不允许存在代交行为。如有代交漏洞行为,一经发现则取消本次活动参与资格和所获奖励。

5)活动截止时,最终结果将在深信服SRC统计验收完毕后公布于深信服SRC平台与深信服安全应急响应中心微信公众号。