双十一特辑 | 当业务安全撞上白帽黑客
各位白帽黑客们,来一场酣畅淋漓的正义守卫战吗?
每年双十一电商节,不仅是打工人的狂欢,也是黑灰产们的狂欢——抢夺优惠券、秒杀特价货物,大量"返利、促销“瞬间消耗殆尽,赚得盆满钵满。但也有一群人,誓与黑灰产们势不两立,他们日夜奋战在第一线,为了守护用户的安全,为了守护心中的正义,与黑灰产日夜交锋。
顶象作为业务安全的引领者,深知与黑灰产之间的博弈非一日之功,对付黑灰产不仅要对症下药,更要主动出击。
为此,今年双十一,顶象将发起首届业务安全保卫战号召令。召集各位白帽黑客一道为业务安全保驾护航。
双十一期间,白帽黑客可在顶象安全应急响应中心提交漏洞&威胁情报(所谓威胁情报即将在双十一中的黑灰产“抓起来”,描述黑灰产的风险来源、风险特征、作弊手段、变现链路,形成业务安全威胁情报),经顶象安全应急响应中心工作人员验证成功,核定审核结果并给予相应的积分评定,积分排名在前10 的选手可拿到高额奖金及其他丰厚福利,前3名获得者亦可作为升职加薪的有利条件之一。
话不多说,各位白帽黑客们还不快来接下这个号召令!
1、报名通道
活动期间,参赛者可扫描下方二维码或通过以下链接在顶象安全应急响应中心报名:
(活动已结束,链接暂时关闭,后续有常规持续活动可以先添加“小助手微信”↓)
报名成功后,扫描下方二维码,或添加顶象小助手运营微信, 进入本次活动群。(注:参与活动必须添加顶象小助手(备注SRC),进入顶象SRC活动群,群内将会为各位参赛选手答疑解惑,并公布活动积分榜)
2、活动安排:
全程报名:活动期内,白帽黑客可在顶象安全应急响应中心注册报名。
活动时间:2022年10月20日活动正式开始,并于2022年11月20日结束。
结果公布:活动期内每个工作日公布积分进度,活动结果最终公布时间为11月22日,奖励将在一个月内发放完毕。
3、积分规则:
每个通过审核的漏洞或者威胁情报积10分,按积分进行排名,取积分最高的前10名作为奖励对象,另外参与者也会得到参赛奖励,以资鼓励。
我们将在漏洞&威胁情报提交后的5个工作日内做出响应,完成审核确认、积分评定。
注:白帽子提交的威胁情报详情描述的细致以及完整程度将影响是否通过审核获得积分及奖励,请尽可能详尽复现步骤并说明后果。
4、漏洞&威胁情报提交规则
点击提交按钮,跳转到情报提交表单页面
可提交类型分为通用类漏洞、业务类漏洞和业务安全威胁情报。
以下为漏洞内容和业务安全威胁情报提交示例。
漏洞类提交内容包括漏洞链接;漏洞概述以及漏洞详情。
漏洞类型可选择通用类漏洞和业务类漏洞两种,以下图为例:
提交后进入审核,审核通过即计入10分。
威胁情报提交包括风险概要、黑产作弊手段以及黑产变现链路。
(1)风险概要包含:
-事件描述
-行业
-渠道(APP、H5、微信公众号、微信小程序等)
-受攻击平台
-时间
(2)黑产作弊手段信息包含:
-线索(QQ群等截图)
-黑产工具(软件名称、版本)
-工具使用(图文流程)
-事件结果
(3)黑产变现链路即变现方式
提交后进入审核,审核通过即计入10分。
注:参赛者提交的威胁情报内容包括但不限于:漏洞的位置及潜在危害,复现该漏洞所需的步骤、脚本、重现该问题的技术相关信息、可能的解决措施;风险事件描述、黑灰产作弊手段信息及变现链路等。
5、活动奖品:
6、活动备注
风险审核采取先来后到原则,谁先提交有效即过审
活动期内每个工作日公布积分进度。
7、注意事项
以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,取消参赛资格及相应排名,顶象也将保留采取进一步法律行动的权利。
顶象反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的黑客行为,包括但不限于利用漏洞盗取用户资料、入侵业务系统、修改、窃取相关系统资料、恶意传播漏洞或数据。对于发生上述行为的,顶象将追究其法律责任。
顶象依照《网络安全法》、《个人信息保护法》、《数据安全法》、《网络产品安全漏洞管理规定》等规定开展漏洞和威胁情报收集,违反以上法律法规者,顶象将及时通报监管部门和公安部门追究其法律责任。
以上漏洞评定标准最终解释权归北京顶象技术有限公司所有。
最后,顶象再次向各位白帽战士们发出诚挚邀请,希望大家能够积极参与到此次双十一业务安全保卫战活动中来,为业务安全贡献自己的一份力量。