[TPSA18-06]“互联一切”——腾讯移动互联网事业群众测活动

公告编号:TPSA18-06公告来源:TSRC发布日期:2018-04-11

分享
    互联网不仅仅是一种工具,更是一种能力,一种新的DNA,与各行各业结合之后,能够赋予后者以新的力量和再生的能力。“互联一切”也需要正义的白帽子的力量。TSRC将针对腾讯移动互联网事业群包含医疗、城市服务、浏览器、地图、安全等多款产品/平台以及客户端,面向安全社区正义的白帽子和普通用户开展漏洞征集活动,期待大家共同发现和举报以上产品、平台相关的安全漏洞和黑产信息。所有高风险漏洞都会得到腾讯官方的感谢和奖励。

【活动时间】 
 
    2018/4/11~2018/4/30

【适用条件】 
 
    1.漏洞未在外部公开,且需要提供可用的Exploit
    2.通过腾讯“安全漏洞反馈平台”提交

【业务范围】 
 
    本次腾讯移动互联网事业群众测活动覆盖的相关业务列表如下 :
    Web端:
        1.医疗:tdf.qq.com; *.doctor.qq.com; aiyixue.qq.com; mc.tengmed.com
        2.城市服务 *.wecity.qq.com
        3.浏览器:quan.qq.com; bbs.browser.qq.com; bookshelf.html5.qq.com
        4.地图:*.map.qq.com; lbs.qq.com
        5.安全:yuzhi.qq.com; m.qq.com; urlsec.qq.com; shenyang.qq.com; c.pc.qq.com
        6.其他:plus.tencent.com; *.cmu.qq.com; *.pace.qq.com; beacon.qq.com
    客户端:
        腾讯地图、手机QQ浏览器、腾讯手机管家 App,及桌面浏览器PC客户端 

【奖励规则】 
 
    1.所有报告的高风险及以上的安全问题均在TSRC现有评分规则基础上双倍奖励
    2.符合TSRC即时现金奖励标准的严重安全问题,将额外给予1~5万的即时现金奖励
    3.在活动中积分排名前五并且报告过高风险及以上风险等级漏洞的同学,将获得腾讯安全荣誉勋章一枚

【漏洞评级及奖励标准】

    1. 严重
        1) 直接获取权限的漏洞
        2) 直接导致严重信息泄漏的漏洞
        3) 直接导致严重影响的逻辑漏洞

    2. 高危
        1) 能直接盗取用户身份信息的漏洞
        2) 越权访问
        3) 高风险的信息泄漏漏洞
        4) 本地任意代码执行
        5) 直接获取客户端权限的漏洞
        6) 可获取敏感信息或者执行敏感操作的重要客户端产品的XSS 漏洞

【其它说明】

    在漏洞处理过程中,如果报告者对处理流程、漏洞评定、漏洞评分等具有异议的,请通过当前漏洞报告页面的评论功能或者页面中的“一键联系处理人员”、“联系值班人员”的按钮及时沟通。腾讯安全应急响应中心将根据漏洞报告者利益优先的原则进行处理,必要时可引入外部人士共同裁定。更多详情请参照“腾讯外部漏洞报告处理流程”。