本文來(lái)自：騰訊安全應(yīng)急響應(yīng)中心

全球戰(zhàn)“疫”正火熱，遠(yuǎn)程辦公掀浪潮！

受疫情影響，目前遠(yuǎn)程辦公在全球范圍內(nèi)掀起熱潮。騰訊遠(yuǎn)程會(huì)議及通訊協(xié)作軟件產(chǎn)品——騰訊會(huì)議，對(duì)內(nèi)第一時(shí)間進(jìn)行了擴(kuò)容，保障萬(wàn)千企業(yè)在線辦公需求；對(duì)外全面開(kāi)放技術(shù)支持，快速推出海外版本馳援全球。疫情之下，騰訊會(huì)議還將為聯(lián)合國(guó)成立75周年活動(dòng)提供全方位遠(yuǎn)程通訊支持。

然而更多的需求也意味著更大的安全風(fēng)險(xiǎn)和挑戰(zhàn)。為此，TSRC聯(lián)合云鼎實(shí)驗(yàn)室、騰訊會(huì)議推出

百萬(wàn)獎(jiǎng)金池！！！

重金誠(chéng)邀正義之士，用代碼為騰訊會(huì)議筑起堅(jiān)固的堡壘，一起守護(hù)騰訊會(huì)議的安全。

無(wú)論是嚴(yán)重漏洞，還是高危漏洞，只要符合相關(guān)條件，單個(gè)漏洞額外獎(jiǎng)勵(lì)最高可達(dá)20萬(wàn)元！

尋百萬(wàn)賞金獵人！

競(jìng)四方英豪八方匯集，

砌騰訊會(huì)議安全之壘！

黎明盡頭，誰(shuí)與爭(zhēng)鋒？

【騰訊會(huì)議百萬(wàn)賞金共戰(zhàn)“疫”】

活動(dòng)詳情如下

↓↓↓

【活動(dòng)時(shí)間】

2020年4月8日 至 4月30日18時(shí)

【適用條件】

本次TSRC“騰訊會(huì)議安全專項(xiàng)眾測(cè)”活動(dòng)范圍如下:

1.產(chǎn)品范圍：

騰訊會(huì)議客戶端（包含macOS、Windows、iOS、Android、微信小程序）

騰訊會(huì)議服務(wù)端

2.域名范圍：

*.wemeet.qq.com

*.meeting.tencent.com

*.meeting.qq.com

*.voovmeeting.com

3. 通過(guò)騰訊安全應(yīng)急響應(yīng)中心（TSRC）提交，標(biāo)題以【騰訊會(huì)議眾測(cè)】開(kāi)頭，先到先得。

【獎(jiǎng)勵(lì)機(jī)制及條件】

1.所有有效漏洞將根據(jù)TSRC現(xiàn)有規(guī)則，獲取漏洞積分及安全幣；

2.針對(duì)本次“騰訊會(huì)議安全專項(xiàng)”，TSRC特設(shè)百萬(wàn)現(xiàn)金獎(jiǎng)金池。符合活動(dòng)范圍內(nèi)的每個(gè)嚴(yán)重/高危漏洞，TSRC將獎(jiǎng)勵(lì)稅后最高20萬(wàn)元現(xiàn)金，規(guī)則如下：

必須提供有效復(fù)現(xiàn)EXP，具體漏洞評(píng)級(jí)獎(jiǎng)勵(lì)將以CVSS及TSRC漏洞評(píng)分標(biāo)準(zhǔn)實(shí)施。

【漏洞評(píng)級(jí)及獎(jiǎng)勵(lì)標(biāo)準(zhǔn)】

詳情請(qǐng)參考：

https://security.tencent.com/uploadimg_dir/other/TSRC.pdf

【TSRC漏洞提交基本原則】

1、測(cè)試過(guò)程不得損害業(yè)務(wù)正常運(yùn)行，不得以測(cè)試漏洞借口嘗試?yán)寐┒磽p害用戶利益，影響業(yè)務(wù)的正常運(yùn)行或盜取用戶數(shù)據(jù)等行為。

2、禁止內(nèi)網(wǎng)滲透行為，包括但不限于利用 SSRF 或其他漏洞掃描內(nèi)網(wǎng)、嘗試系統(tǒng)提權(quán)等行為。

3、禁止進(jìn)行網(wǎng)絡(luò)拒絕服務(wù)攻擊，包括但不限于 DoS、 DDos、CC 或其他明確在嘗試前可知會(huì)影響服務(wù)穩(wěn)定性的拒絕服務(wù)攻擊。

4、禁止下載和業(yè)務(wù)相關(guān)的敏感數(shù)據(jù)，包括但不限于源代碼、運(yùn)營(yíng)數(shù)據(jù)、用戶資料等，若存在不知情的下載行為，需及時(shí)說(shuō)明和刪除。

5、在測(cè)試未限制發(fā)送次數(shù)的短信功能時(shí)，需填寫(xiě)自己的手機(jī)號(hào)，禁止對(duì)其他用戶號(hào)碼進(jìn)行嘗試。

6、禁止使用可能造成業(yè)務(wù)影響的漏洞嘗試工具，包括但不限于 SQLMap 等，使用時(shí)需確認(rèn)不會(huì)對(duì)業(yè)務(wù)數(shù)據(jù)造成破壞性的影響。

7、在測(cè)試過(guò)程中如包含數(shù)據(jù)獲取功能時(shí)，包括但不限于 SQL 注入、用戶資料的越權(quán)獲取等，應(yīng)盡可能的采取手動(dòng)嘗試，且獲取的數(shù)據(jù)量不能超過(guò) 10 組，相關(guān)數(shù)據(jù)也需在報(bào)告后盡快刪除。

8、測(cè)試越權(quán)嘗試或其他可能影響用戶數(shù)據(jù)的操作時(shí)，需盡可能將嘗試控制在自己創(chuàng)建的多個(gè)賬號(hào)生成的內(nèi)容中，不得影響到線上業(yè)務(wù)中其他用戶的正常數(shù)據(jù)。

9、禁止通過(guò)物理接觸、社會(huì)工程學(xué)、釣魚(yú)、水坑等不涉及 TSRC 獎(jiǎng)勵(lì)計(jì)劃的非技術(shù)漏洞嘗試。

10、我們反對(duì)和譴責(zé)一切以漏洞測(cè)試為借口，利用安全漏洞進(jìn)行破壞，損害騰訊系統(tǒng)及騰訊用戶的利益的攻擊行為，對(duì)相關(guān)行為我們保留追究法律責(zé)任的權(quán)利。

11、漏洞測(cè)試和提交準(zhǔn)則請(qǐng)參照《騰訊外部威脅情報(bào)處理流程》和遵守《SRC行業(yè)安全測(cè)試規(guī)范》。

【其它補(bǔ)充說(shuō)明】

在漏洞處理過(guò)程中，如果報(bào)告者對(duì)處理流程、漏洞評(píng)定、漏洞評(píng)分等具有異議的，請(qǐng)通過(guò)當(dāng)前漏洞報(bào)告頁(yè)面的評(píng)論功能或者頁(yè)面中的“一鍵聯(lián)系處理人員”、“聯(lián)系值班人員”的按鈕及時(shí)溝通。騰訊安全應(yīng)急響應(yīng)中心將根據(jù)漏洞報(bào)告者利益優(yōu)先的原則進(jìn)行處理，必要時(shí)可引入外部人士共同裁定。更多詳情請(qǐng)參照“騰訊外部漏洞報(bào)告處理流程”。

我們是TSRC

互聯(lián)網(wǎng)安全的守護(hù)者

用戶數(shù)據(jù)安全的保衛(wèi)者

我們找漏洞、查入侵、防攻擊

與安全行業(yè)精英攜手共建互聯(lián)網(wǎng)生態(tài)安全

期待正能量的你與我們結(jié)盟！

微信號(hào)：tsrc_team

總結(jié)

以上是生活随笔為你收集整理的腾讯推出百万现金漏洞悬赏计划！的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。