奖励更新丨众测 SegmentFault:谁是最佳白帽

16

图片描述

[1] “中国银行某站存在命令执行漏洞”
[2] “爱奇艺主站某处 FFmpeg 漏洞可导致任意文件读取”
[3] “某平台 GIT 配置不当/导致数据泄露”

在 WooYun.org 上,总能发现很多类似的漏洞提交,而这些,都归功于“白帽子”1作出的贡献。

这一次,借着即将到来的 乌云白帽大会NingJS · JSConf China 2016,我们想发动社区白帽子的力量,为 SegmentFault 的安全把关。

活动规则

活动为期两周,规则非常简单,在 06.21 - 07.05 期间,发现 SegmentFault 主站、移动端的安全漏洞,以要求格式提交至 0day@segmentfault.com 即可。

@joyqi 确认并评出漏洞等级后(1 级为最高),我们会送出相应的奖品表示特别的感谢。

漏洞提交方式

漏洞标题:

问题描述:

详细说明:<code> / <img> / <video>

漏洞证明:<code> / <img> / <video>

漏洞修复:<code> / <img> / <video>

奖品设置

  • 主奖品:

    1. 根据漏洞的等级,分别奖励人民币 5,000、2,000 和 500 元

    2. 乌云白帽大会两日通票(共 20 张)和 JSConf China 2016 门票(共 4 张),可任意选一张或两张

  • 超级奖:SegmentFault 技术大会讲师邀请函,仅限 1 级

  • 附赠奖:SegmentFault 周边任意选三,目前周边有徽章、马克杯、贴纸、抱枕、T 恤

其中:

  1. 现金奖励,相同漏洞只发放给最先提交者

  2. 非现金奖励,因奖品数量有限,在漏洞确认的情况下,相同漏洞先提交者可领取奖品,直至所有主奖品送完。

本次活动需要遵从

  • 方法包括但不限于黑盒测试等渗透手段,仅用于验证安全问题,不向第三方公开

  • 漏洞包括但不限于 SQL 注入、XSS、CSRF 等

  • 范围包括 SegmentFault 主站、移动端

万万没想到,第一个发现漏洞的是我们全栈溢出工程师 @Integ clipboard.png

特别鸣谢

感谢乌云白帽大会、NingJS · JSConf China 2016 为本次活动提供的门票赞助。


  1. 白帽子:对安全极为感兴趣,对事物运行的原理有着天生的好奇心,愿意将技术回归技术,愿意为其他朋友做出贡献。(来源)

你可能感兴趣的

13 条评论
rozbo · 2016-06-21

严格按照规则的话,估计奖品难以送出。漏洞挖掘需要大量的时间与精力,回报是一张门票。我想说作为一只白猫,门票还少吗。。

+5 回复

v1 · 2016-06-21

请拿出现金奖励

+2 回复

ivanilla · 2016-06-25

编辑器可能会有XSS,SQL注入用PDO/MySQLi的预处理可以杜绝发生,CSRF用token可以防止。SF作为一个程序猿交流社区,应该不会存在这两个漏洞。如果SF用WAF,在某种程度上也可以防止利用可能的漏洞。
所以我想说的是,你们谁用Kali Linux里面的工具去试试有没有漏洞,估计不容易发现。

+1 回复

高阳Sunny · 2016-06-21

我们沟通后,已经增加现金奖励

回复

烧碱Jusef · 2016-06-22

已增加现金奖励,感谢建议

回复

kumfo · 2016-06-24

作为对安全一窍不通的,看来没法拿这个奖了,唉。

回复

烧碱Jusef · 2016-06-24

试试抓抓 bug,比如前端页面 XD

回复

kumfo · 2016-06-24

/呲牙 用得挺好的,应该bug不大

回复

Panda · 2016-06-24

一波 XSS CSRF 测试飘过

回复

苏生不惑 · 2016-06-26

万万没想到。。。

回复

Just · 2016-07-03

这个应该是前阵子发送越权修改首页的标签的事之后发出的吧?@SF吴隐隐@joyqi

回复

tinylcy · 2016-07-05

segmentfault经常性登录串号:https://segmentfault.com/q/1010000005873897

回复

Cristic · 2017-05-31

要更新啦“NingJS · JSConf China 2016 为本次活动提供的门票赞助”
现在应该是2017了吧 哈哈~

回复

载入中...