5月8日正式开启！

这是一条提醒你一夜暴富的推文

（先来复习一下）

喜迎DEF CON CHINA盛大开幕

值此顶级极客大会举办之际

我谨代表BSRC为各位白帽表哥献上一条

可以一夜暴富的小道消息

作为BCTF众测彩蛋之一，BSRC众测活动火热开启！

5.8-5.12，提交漏洞安全币

翻倍翻倍翻N倍！！！

是时候展现真正的技术了！

活动时间：

2018年5月8日10:00-5月12日17:00

「早10:00—晚17:00为漏洞提交翻倍时间，

提交漏洞选择【BCTF众测彩蛋】

请您务必在规定活动时间内提交漏洞，否则将不计入翻倍奖励」

本次众测漏洞&情报接收范围：

百度所有相关业务高危、严重漏洞

百度业务相关黑产威胁情报

威胁情报收取说明：

威胁情报将根据完整性及其影响打分

鼓励涉及账号、核心业务技术、数据相关、用户隐私相关的黑灰产情报

鼓励提交尽量完整的情报信息，完整性基本信息参考5W 1H原则（Why What Who When Where How），即应说明何种人群在何时出于何种目的通过何种行为/业务进行谋取何种利益/危害行为

常见的无效威胁情报包括：

无有效信息的威胁情报

无法证实或伪造的威胁情报

BSRC已掌握的威胁情报

注意事项

测试验证数据应控制在10条范围内，否则将计0分处理，并保留追究法律责任的权利

漏洞危害级别根据漏洞影响而定，即同一个类型的漏洞其危害等级不一样，会根据其实际影响而决定

请仔细阅读《BSRC用户协议》，以避免由此带来的风险

说明：常见漏洞测试方法说明。活动期间，中危、低危漏洞BSRC照常接收

1.SSRF测试认定方法

如果可以访问到http://10.199.7.105/，第一行将输出一个40位的字符串作为flag，第二行为1024位的字符串

可获取到flag，认为是有回显的SSRF，请将此flag在提交漏洞时附上

可获取到flag及其后的1024位字符串，认为是完全回显SSRF。

不同的回显程度会对应不同的打分，同时请不要尝试访问其他内网站点，以免造成不必要的影响。

2.命令执行测试认定方法

可通过curl http://10.199.7.105/来证明可执行命令，无回显的情况下可在报告中说明，或联系我们确认。

3.SQL注入测试认定方法

SQL注入证明可获取数据即可，如获取当前库下的表名，或者由我们进行验证。

注意version()并不能证明获取数据的能力，同时请勿恶意获取数据（超过10条）

奖励规则

百度所有相关业务：高危漏洞4倍安全币、严重漏洞5倍安全币

优质威胁情报2000安全币起（优质威胁情报指在鼓励范围内完整度高具有较大影响的威胁情报）

注：本次奖励安全币会在后台发放，不影响月榜单排名

根据BSRC漏洞评分标准，以严重漏洞最高评分为例

发现百度业务相关严重漏洞最高奖励安全币1600枚

5倍奖励后，你将获得1600*5=8000安全币

也就是单个漏洞40000元的现金奖励！！

我说了一夜暴富，没毛病吧？

哦，差点忘记

此次众测我们将选出提交”一血“严重漏洞的白帽子

直通一年一度的BSRC美国游学之旅！BSRC白帽天团游学DEFCON|上演现实版“大话西游”

各位表哥，快来大展身手吧！

活动期间，BSRC会在DE FCON CHINA「BCTF」现场等你应战

现场参与众测的白帽表哥，还能与BSRC的审核童鞋面对面“深入”交流！