百萬賞金共戰「疫」!騰訊會議安全專項眾測正式啟動!
- 2020 年 4 月 8 日
- 筆記
全球戰「疫」正火熱,遠程辦公掀浪潮!
受疫情影響,目前遠程辦公在全球範圍內掀起熱潮。騰訊遠程會議及通訊協作軟體產品——騰訊會議,對內第一時間進行了擴容,保障萬千企業在線辦公需求;對外全面開放技術支援,快速推出海外版本馳援全球。
然而更多的需求也意味著更大的安全風險和挑戰。
為此,TSRC聯合雲鼎實驗室、騰訊會議推出百萬獎金池,重金誠邀正義之士,用程式碼為騰訊會議築起堅固的堡壘,一起守護騰訊會議的安全。
無論是嚴重漏洞,還是高危漏洞,只要符合相關條件,單個漏洞額外獎勵最高可達20萬元!
尋百萬賞金獵人!
競四方英豪八方彙集,砌騰訊會議安全之壘!
黎明盡頭,誰與爭鋒?
【騰訊會議百萬賞金共戰「疫」】活動詳情如下:
【活動時間】
2020年4月8日 – 4月30日18時
【適用條件】
本次TSRC「騰訊會議安全專項眾測」活動範圍如下 :
- 產品範圍:
騰訊會議客戶端(包含macOS、Windows、iOS、Android、微信小程式)
騰訊會議服務端
2.域名範圍:
*.wemeet.qq.com
*.meeting.tencent.com
*.meeting.qq.com
*.voovmeeting.com
3.通過騰訊安全應急響應中心(TSRC)提交,標題以「[騰訊會議眾測]」開頭,先到先得。
【獎勵機制及條件】
1.所有有效漏洞將根據TSRC現有規則,獲取漏洞積分及安全幣;
2.針對本次「騰訊會議安全專項」,TSRC特設百萬現金獎金池。符合活動範圍內的每個嚴重/高危漏洞,TSRC將獎勵稅後最高20萬現金,規則如下:
|
漏洞級別 |
漏洞描述 |
獎勵 |
|---|---|---|
|
嚴重 |
遠程獲取伺服器許可權、遠程無條件獲取客戶端許可權 |
5-20萬 |
|
高危 |
高風險邏輯錯誤可無限制加入任意會議房間等 |
1-5萬 |
|
高危 |
無條件竊取/篡改任意會議通訊數據,如影片、音頻等數據 |
1-5萬 |
|
高危 |
可獲取用戶相關敏感資訊的問題,如SQL注入、用戶完整敏感資訊遍歷(會議列表詳情、參會人員列表、手機號碼等) |
1-5萬 |
必須提供有效復現EXP,具體漏洞評級獎勵將以CVSS及TSRC漏洞評分標準實施。
【漏洞提交相關說明】
【漏洞評級及獎勵標準】
詳情請參考:https://security.tencent.com/uploadimg_dir/other/TSRC.pdf
【漏洞提交基本原則】
1、測試過程不得損害業務正常運行,不得以測試漏洞借口嘗試利用漏洞損害用戶利益,影響業務的正常運行或盜取用戶數據等行為。
2、禁止內網滲透行為,包括但不限於利用 SSRF 或其他漏洞掃描內網、嘗試系統提權等行為。
3、禁止進行網路拒絕服務攻擊,包括但不限於 DoS、 DDos、CC 或其他明確在嘗試前可知會影響服務穩定性的拒絕服務攻擊。
4、禁止下載和業務相關的敏感數據,包括但不限於源程式碼、運營數據、用戶資料等,若存在不知情的下載行為,需及時說明和刪除。
5、在測試未限制發送次數的簡訊功能時,需填寫自己的手機號,禁止對其他用戶號碼進行嘗試。
6、禁止使用可能造成業務影響的漏洞嘗試工具,包括但不限於 SQLMap 等,使用時需確認不會對業務數據造成破壞性的影響。
7、在測試過程中如包含數據獲取功能時,包括但不限於 SQL 注入、用戶資料的越權獲取等,應儘可能的採取手動嘗試,且獲取的數據量不能超過 10 組,相關數據也需在報告後儘快刪除。
8、測試越權嘗試或其他可能影響用戶數據的操作時,需儘可能將嘗試控制在自己創建的多個帳號生成的內容中,不得影響到線上業務中其他用戶的正常數據。
9、禁止通過物理接觸、社會工程學、釣魚、水坑等不涉及 TSRC 獎勵計劃的非技術漏洞嘗試。
10、我們反對和譴責一切以漏洞測試為借口,利用安全漏洞進行破壞,損害騰訊系統及騰訊用戶的利益的攻擊行為,對相關行為我們保留追究法律責任的權利。
11、漏洞測試和提交準則請參照《騰訊外部威脅情報處理流程》和遵守《SRC行業安全測試規範》。
【其它補充說明】
在漏洞處理過程中,如果報告者對處理流程、漏洞評定、漏洞評分等具有異議的,請通過當前漏洞報告頁面的評論功能或者頁面中的「一鍵聯繫處理人員」、「聯繫值班人員」的按鈕及時溝通。騰訊安全應急響應中心將根據漏洞報告者利益優先的原則進行處理,必要時可引入外部人士共同裁定。更多詳情請參照「騰訊外部漏洞報告處理流程」。
