獎勵更新丨衆測 SegmentFault：誰是最佳白帽

[1] 「中國銀行某站存在命令執行漏洞」
[2] 「愛奇藝主站某處 FFmpeg 漏洞可致使任意文件讀取」
[3] 「某平臺 GIT 配置不當/致使數據泄露」

在 WooYun.org 上，總能發現不少相似的漏洞提交，而這些，都歸功於「白帽子」¹做出的貢獻。

這一次，藉着即將到來的 烏雲白帽大會 和 NingJS · JSConf China 2016，咱們想發動社區白帽子的力量，爲 SegmentFault 的安全把關。

活動規則

活動爲期兩週，規則很是簡單，在 06.21 - 07.05 期間，發現 SegmentFault 主站、移動端的安全漏洞，以要求格式提交至 0day@segmentfault.com 便可。

經 @joyqi 確認並評出漏洞等級後（1 級爲最高），咱們會送出相應的獎品表示特別的感謝。

漏洞提交方式：

漏洞標題：

問題描述：

詳細說明：<code> / <img> / <video>

漏洞證實：<code> / <img> / <video>

漏洞修復：<code> / <img> / <video>

獎品設置：

• 主獎品：

  1. 根據漏洞的等級，分別獎勵人民幣 5,000、2,000 和 500 元

  2. 烏雲白帽大會兩日通票（共 20 張）和 JSConf China 2016 門票（共 4 張），可任意選一張或兩張

• 超級獎：SegmentFault 技術大會講師邀請函，僅限 1 級

• 附贈獎：SegmentFault 周邊任意選三，目前周邊有徽章、馬克杯、貼紙、抱枕、T 恤

其中：

1. 現金獎勵，相同漏洞只發放給最早提交者

2. 非現金獎勵，因獎品數量有限，在漏洞確認的狀況下，相同漏洞先提交者可領取獎品，直至全部主獎品送完。

本次活動須要聽從：

• 方法包括但不限於黑盒測試等滲透手段，僅用於驗證安全問題，不向第三方公開

• 漏洞包括但不限於 SQL 注入、XSS、CSRF 等

• 範圍包括 SegmentFault 主站、移動端

萬萬沒想到，第一個發現漏洞的是咱們全棧溢出工程師 @Integ …

特別鳴謝

感謝烏雲白帽大會、NingJS · JSConf China 2016 爲本次活動提供的門票贊助。

---

1. 白帽子：對安全極爲感興趣，對事物運行的原理有着天生的好奇心，願意將技術迴歸技術，願意爲其餘朋友作出貢獻。(來源) ↩