En

[TPSA17-17] 核心业务严重漏洞额外现金奖励活动公告

公告编号:TPSA17-17公告来源:TSRC发布日期:2017-11-13

分享

2017年即将过去,感谢安全社区正义的白帽子和热心安全的互联网用户对我们长期以来的支持和帮助。在本月高危漏洞全部双倍积分奖励的基础上,针对核心业务我们也将进行持续双周的额外现金奖励。

【活动时间】

2017/11/14 10:00 至 2017/11/30 17:00

【适用条件】

  1. 腾讯核心业务系统(微信/手Q客户端、支付业务和腾讯云平台系统)安全相关的有较大危害的漏洞和威胁情报
  2. 漏洞未在外部公开,且需要提供可用的Exploit,谢绝直接搬迁CVE公告
  3. 通过腾讯“安全漏洞反馈平台”提交

【奖励规则】

  1. 所有报告的高风险及以上的安全问题均在TSRC现有评分规则基础上双倍奖励
  2. 符合TSRC即时现金奖励标准的高危安全问题,将额外给予1~5万的即时现金奖励
  3. 符合TSRC即时现金奖励标准的严重风险安全问题,将额外给予3~50万的即时现金奖励

【漏洞评级及奖励标准】

  1. 严重
    1) 直接获取权限的漏洞
    2) 直接导致严重信息泄漏的漏洞
    3) 直接导致严重影响的逻辑漏洞

  2. 高危
    1) 能直接盗取用户身份敏感信息的漏洞
    2) 越权访问
    3) 高风险的信息泄漏漏洞
    4) 本地任意代码执行
    5) 直接获取客户端权限的漏洞
    6) 可获取敏感信息或者执行敏感操作的重要客户端产品的XSS 漏洞

【其它说明】

在漏洞处理过程中,如果报告者对处理流程、漏洞评定、漏洞评分等具有异议的,请通过当前漏洞报告页面的评论功能或者页面中的“一键联系处理人员”、“联系值班人员”的按钮及时沟通。腾讯安全应急响应中心将根据漏洞报告者利益优先的原则进行处理,必要时可引入外部人士共同裁定。更多详情请参照“腾讯外部漏洞报告处理流程”