奖励更新丨众测 SegmentFault：谁是最佳白帽

[1] “中国银行某站存在命令执行漏洞”
[2] “爱奇艺主站某处 FFmpeg 漏洞可致使任意文件读取”
[3] “某平台 GIT 配置不当/致使数据泄露”

在 WooYun.org 上，总能发现不少相似的漏洞提交，而这些，都归功于“白帽子”¹做出的贡献。

这一次，借着即将到来的 乌云白帽大会 和 NingJS · JSConf China 2016，咱们想发动社区白帽子的力量，为 SegmentFault 的安全把关。

活动规则

活动为期两周，规则很是简单，在 06.21 - 07.05 期间，发现 SegmentFault 主站、移动端的安全漏洞，以要求格式提交至 0day@segmentfault.com 便可。

经 @joyqi 确认并评出漏洞等级后（1 级为最高），咱们会送出相应的奖品表示特别的感谢。

漏洞提交方式：

漏洞标题：

问题描述：

详细说明：<code> / <img> / <video>

漏洞证实：<code> / <img> / <video>

漏洞修复：<code> / <img> / <video>

奖品设置：

• 主奖品：

  1. 根据漏洞的等级，分别奖励人民币 5,000、2,000 和 500 元

  2. 乌云白帽大会两日通票（共 20 张）和 JSConf China 2016 门票（共 4 张），可任意选一张或两张

• 超级奖：SegmentFault 技术大会讲师邀请函，仅限 1 级

• 附赠奖：SegmentFault 周边任意选三，目前周边有徽章、马克杯、贴纸、抱枕、T 恤

其中：

1. 现金奖励，相同漏洞只发放给最早提交者

2. 非现金奖励，因奖品数量有限，在漏洞确认的状况下，相同漏洞先提交者可领取奖品，直至全部主奖品送完。

本次活动须要听从：

• 方法包括但不限于黑盒测试等渗透手段，仅用于验证安全问题，不向第三方公开

• 漏洞包括但不限于 SQL 注入、XSS、CSRF 等

• 范围包括 SegmentFault 主站、移动端

万万没想到，第一个发现漏洞的是咱们全栈溢出工程师 @Integ …

特别鸣谢

感谢乌云白帽大会、NingJS · JSConf China 2016 为本次活动提供的门票赞助。

---

1. 白帽子：对安全极为感兴趣，对事物运行的原理有着天生的好奇心，愿意将技术回归技术，愿意为其余朋友作出贡献。(来源) ↩