[TPSA18-07]“一个链接，所有平台”——腾讯文档众测活动

    近期腾讯推出多人协作的在线文档产品——腾讯文档。腾讯文档是一款支持随时随地创建、编辑的多人协作式在线文档工具，拥有一键翻译、实时股票函数和浏览权限安全可控等功能，以及打通QQ、微信等多个平台编辑和分享的能力，形成完整的办公生态。
    现腾讯安全应急响应中心面向安全社区正义的白帽子和普通用户对#腾讯文档#开展漏洞征集活动，期待大家共同发现和举报相关的安全漏洞和黑产信息。所有高风险漏洞都会得到腾讯官方的感谢和奖励。

【活动时间】 

    2018/4/19~2018/5/18 

【适用条件】 

    1. 腾讯文档相关的漏洞和威胁情报；域名：*.docs.qq.com
    2. 漏洞未在外部公开，且需要提供可用的Exploit；
    3. 通过腾讯“安全漏洞反馈平台”提交 。 

【奖励规则】 

    1.所有报告的高风险及以上的安全问题均在TSRC现有评分规则基础上双倍奖励
    2.符合TSRC即时现金奖励标准的严重安全问题，将额外给予1~5万的即时现金奖励
    3.在活动中积分排名前五并且报告过高风险及以上风险等级漏洞的同学，将获得腾讯安全荣誉勋章一枚 

【漏洞评级及奖励标准】 

    1. 严重
        1) 直接获取权限的漏洞
        2) 直接导致严重信息泄漏的漏洞
        3) 直接导致严重影响的逻辑漏洞

    2. 高危
        1) 能直接盗取用户身份信息的漏洞
        2) 越权访问
        3) 高风险的信息泄漏漏洞
        4) 本地任意代码执行
        5) 直接获取客户端权限的漏洞
        6) 可获取敏感信息或者执行敏感操作的重要客户端产品的XSS 漏洞

【其它说明】 

    在漏洞处理过程中，如果报告者对处理流程、漏洞评定、漏洞评分等具有异议的，请通过当前漏洞报告页面的评论功能或者页面中的“一键联系处理人员”、“联系值班人员”的按钮及时沟通。腾讯安全应急响应中心将根据漏洞报告者利益优先的原则进行处理，必要时可引入外部人士共同裁定。更多详情请参照“腾讯外部漏洞报告处理流程”。