公告编号:TPSA16-13公告来源:TSRC发布日期:2016-07-04
2015年夏天,我们准备了100%的诚意和100万奖金,公开征集腾讯移动支付业务安全漏洞,各路安全大神慷慨出手,帮助我们解决多个安全隐患。
今年夏天,我们针对移动支付业务安全再次发出江湖召集令,召唤白帽子高手为用户隐私和财产安全携手而战。
【活动时间】
2016/7/6~2016/7/31
【适用条件】
1. 微信支付、微信红包、手Q支付、手Q红包、微粒贷等移动支付类业务的高风险及以上风险级别的安全漏洞和威胁情报,包括但不限于客户端和web漏洞
2. 漏洞未在外部公开,且需要提供可用的Exploit
3. 通过腾讯“安全漏洞反馈平台”提交
【奖励规则】
1. 所有报告的安全问题均在TSRC现有评分规则基础上双倍奖励
2. 符合TSRC即时现金奖励标准的严重安全问题,将额外给予3~5万的即时现金奖励
3. 设立总额20万的移动支付安全特别大奖,对影响整个互联网移动支付行业的重大漏洞和攻击手法给予额外现金奖励
【漏洞评级及奖励标准】
1. 严重
1) 直接获取权限的漏洞
2) 直接导致严重信息泄漏的漏洞
3) 直接导致严重影响的逻辑漏洞
2. 高危
1) 能直接盗取用户身份信息的漏洞
2) 越权访问
3) 高风险的信息泄漏漏洞
4) 本地任意代码执行
5) 直接获取客户端权限的漏洞
6) 可获取敏感信息或者执行敏感操作的重要客户端产品的XSS 漏洞
【其它说明】
在漏洞处理过程中,如果报告者对处理流程、漏洞评定、漏洞评分等具有异议的,请通过当前漏洞报告页面的评论功能或者页面中的“一键联系处理人员”、“联系值班人员”的按钮及时沟通。腾讯安全应急响应中心将根据漏洞报告者利益优先的原则进行处理,必要时可引入外部人士共同裁定。更多详情请参照“腾讯外部漏洞报告处理流程”
捐款成功,感谢您的无私奉献
