腾讯视频每天服务海量用户的观影、支付与互动体验。从会员收银台到礼品卡流转,从积分商城到热度榜单,业务链路越丰富,需要关注的安全细节也越多。
为持续提升业务安全水位,腾讯视频联合 TSRC 启动本轮专项众测,诚邀安全研究者深入测试,帮助我们发现潜在风险、完善安全防护。
期待与你一起,让每一次刷剧和每一笔支付都更安心。
福利一:
提交活动范围内的高危、严重漏洞最高获2倍安全币。
福利二:
为腾讯核心或重点业务提供高质量严重漏洞报告的师傅,TSRC还将授予月度即时现金奖励(重点业务1~3万元,核心业务1~6万元)。
福利三:
提交活动范围内的漏洞,经评估有特殊贡献将获得业务额外奖励,具体金额根据实际贡献评定。
福利四:
提交更加清晰明确、利用思路新颖、手法独特等的特别贡献安全报告,还将额外获得高质量报告奖励(最高5000元)。
活动时间
2026.4.27 - 2026.5.15
活动范围
本次众测覆盖腾讯视频服务端和客户端,并且标注了12个重点功能入口,众测翻倍奖励需满足特定业务范围的高危严重漏洞,业务特别激励与众测翻倍奖励可同时享受。具体如下:
1.特定业务范围:
注:
1. 腾讯视频服务端范围如下:腾讯视频业务端及创作端服务,覆盖以下域名
通配范围:[*.]video.qq.com、[*.]iwan.qq.com、[*.]v.qq.com
| 域名 | 说明 |
| v.qq.com | 腾讯视频主站 |
| video.qq.com | 视频服务 |
| film.qq.com | 影视服务 |
| film.video.qq.com | 影视视频服务 |
| vip.video.qq.com | VIP会员服务 |
| vip6.video.qq.com | VIP专属服务 |
| mp.v.qq.com | 创作端服务 |
| acc.login.qq.com | 账号登录服务 |
| ad.reward.qq.com | 激励广告服务 |
2. 腾讯视频客户端范围如下:
| 平台 | 覆盖范围 |
| 移动端/Web端/PC端 | 腾讯视频APP(iOS/Android)、腾讯视频网页、腾讯视频客户端 |
| 小程序 | 腾讯视频微信小程序、腾讯视频QQ小程序 |
| TV端 | 云视听极光 |
3. 腾讯视频主要功能,包括不限于如下入口:
| # | 功能模块 | APP端路径 | PC/H5入口 |
| 1 | 【礼品卡】 | 个人中心->VIP会员->礼品卡购买/赠送 | https://film.video.qq.com/weixin/h5/gift/index.html |
| 2 | 【云包场/点映礼】 | 剧集播放页->弹出引导入口 | - |
| 3 | 【草场地】 | 首页顶部[草场地]Tab | https://film.video.com/x/credit_mall/ |
| 4 | 【积分商城】 | 会员专区->顶部Tab[花积分] | - |
| 5 | 【会员权益】 | 会员专区->会员权益 | - |
| 6 | 【金币中心】 | 个人中心->我的金币 | - |
| 7 | 【爱玩游戏】 | 首页顶部[爱玩]Tab | - |
| 8 | 【用户资产】 | 个人中心->我的资产 | - |
| 9 | 【激励广告】 | VIP剧集付费面板->[看广告免费看] | - |
| 10 | 【会员收银台】 | 个人中心->顶部收银台 | - |
| 11 | 【minipay快捷支付】 | - | https://film.qq.com/h5/upay/ https://pay.qq.com/ |
| 12 | 【热度/评论/弹幕】 | 剧集页展示 | - |
* 客户端漏洞要求在最新版复现,操作系统 / Chrome 内核等非业务相关漏洞不在范围内。
* 非腾讯研发/运维的第三方业务不接收——爱玩平台中游戏本身的漏洞、商业化广告本身的漏洞等。
* 不包含海外业务(如 WeTV)。
2.业务特别激励:
1. 特别激励奖一:10000 元 / 个
要求漏洞等级为 严重,且满足以下 任意一条:
2. 特别激励奖二:1000 元 / 个
举报还原黑产作案手法,有效协助腾讯视频发现和打击,同类漏洞按提交时间优先首个。需同时满足:
- 腾讯视频官方历史未发现记录的黑产新型作案手法。
- 且同时满足特别激励奖一的任意条件之一。
特别激励注意事项
- 涉及支付权益的场景需在腾讯视频官方渠道购买(APP / 小程序 / 电商旗舰店等)。
- 同类漏洞多人提交,按漏洞提交时间优先给予首个激励。
- 测试过程中,严禁实施任何损害业务正常运行、影响热度/榜单/评论/弹幕/广告等正常展示的行为。
参与方式
此次测试为预报备制,参与者需在报名入口提前报备,并遵守活动相关规则进行测试,才可享受活动奖励,参与者需同时遵守《漏洞提交基本原则》(详见文末)。
1、提前报备
为方便快速定位,本次众测活动中的所有漏洞测试行为需提前报备,未经提前报备的测试结果不享受活动奖励。
进入链接报备
https://wj.qq.com/s2/26421801/i8em/
2、TSRC官网提交
报告名称以“腾讯视频专测”开头。
漏洞提交基本原则
1、未经腾讯授权,您不得向任何第三方公开漏洞或提供任何与腾讯产品有关的安全情报。如发现相关情形,TSRC有权收回您因该漏洞获得的全部TSRC奖励及福利。
2、测试过程不得损害业务正常运行,不得以测试漏洞借口尝试利用漏洞损害用户利益,影响业务的正常运行或盗取用户数据等行为。
3、禁止内网渗透行为,包括但不限于利用 SSRF 或其他漏洞扫描内网、尝试系统提权等行为。
4、禁止进行网络拒绝服务攻击,包括但不限于 DoS、 DDos、CC 或其他明确在尝试前可知会影响服务稳定性的拒绝服务攻击。
5、禁止下载和业务相关的敏感数据,包括但不限于源代码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除。
6、在测试未限制发送次数的短信功能时,需填写自己的手机号,禁止对其他用户号码进行尝试。
7、禁止使用可能造成业务影响的漏洞尝试工具,包括但不限于 SQLMap 等,使用时需确认不会对业务数据造成破坏性的影响。
8、在测试过程中如包含数据获取功能时,包括但不限于 SQL 注入、用户资料的越权获取等,应尽可能的采取手动尝试,且获取的数据量不能超过 10 组,相关数据也需在报告后尽快删除。
9、测试越权尝试或其他可能影响用户数据的操作时,需尽可能将尝试控制在自己创建的多个账号生成的内容中,不得影响到线上业务中其他用户的正常数据。
10、禁止通过物理接触、社会工程学、钓鱼、水坑等不涉及 TSRC 奖励计划的非技术漏洞尝试。
11、我们反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏,损害腾讯系统及腾讯用户的利益的攻击行为,对相关行为我们保留追究法律责任的权利。
12、漏洞测试和提交准则请参照《TSRC漏洞处理和评分标准》、遵守《SRC行业安全测试规范》和《TSRC安全测试规范》。
13、沙箱环境中的代码执行/命令执行本身是预期的产品功能,如果能逃逸或影响到其他用户容器,则正常评分。(有效条件:逃逸到宿主机/物理机,获取有效敏感信息和权限,或证明通腾讯内网;可通过ssrf的方法验证通腾讯内网 )
14、禁止使用违反法律法规的文字、图片、视频等作为测试素材。
补充说明
在漏洞处理过程中,如果报告者对处理流程、漏洞评定、漏洞评分等具有异议的,请添加该漏洞报告中对应的“审核人员联系方式”及时沟通。
腾讯安全应急响应中心将根据漏洞报告者利益优先的原则进行处理,更多详情请参照《TSRC漏洞处理和评分标准》、《TSRC暂停收录列表》。
