各位看雪网友：

福利来了！如果你还在为上次错过《走进企业看安全-百度站》失落中，又有了一次和百度亲密接触的好机会了。为了更好地完善百度安全产品，百度发起【百度安全•高手论剑】活动，重金奖励漏洞提交者。百度安全团队诚邀每一位安全爱好者参与到我们的悬赏计划中。
  
  本期悬赏产品：百度杀毒、百度卫士

对于每一个级别的漏洞，我们会根据漏洞利用的技术难度、漏洞造成的影响等进行综合考虑，分成不同的层次，并给与相应悬赏奖励。根据漏洞危害程度分为高危、中危、低危三个级别，每个级别涵盖的漏洞以及评分标准如下：

    高危：奖励范围¥20000-¥2000 rank400~40
    （1）直接获取系统权限（服务器权限、客户端权限）的漏洞。包括但不限于远程任意命令执行、代码执行、任意文件上传获取Webshell、缓冲区溢出、SQL注入获取系统权限、服务器解析漏洞、文件包含漏洞等
    （2）严重的逻辑设计缺陷。包括但不限于任意账号登陆、任意账号密码修改、短信邮件验证的绕过。
    （3）严重的敏感信息泄露。包括但不限于严重的SQL注入、任意文件包含等。
    （4）越权访问。包括但不限于绕过验证直接访问后台、后台登录弱口令、匿名FTP访问，SSH弱口令，数据库弱口令等。

    中危：奖励范围¥10000-¥1000  rank200~20
    （1）需要交互才能获取用户身份信息的漏洞。包括存储型XSS等。
    （2）普通逻辑设计缺陷。包括但不限于无限制短信邮件等发送等。
    （3）非重点产品线、利用难度较大的SQL注入漏洞等。

    低危：奖励范围¥5000-¥500  rank100~10
    （1）Json Hijacking、CSRF等漏洞。
    （2）信息泄露漏洞。包括但不限于路径泄露、SVN文件泄露、LOG文件泄露、Phpinfo等。
    （3）无法利用或者难以利用的漏洞，包括但不限于反射型XSS和只能弹自己的XSS。
    （4）URL跳转，包括但不限于未验证的重定向和转发。
    （5）客户端DOS，命令截断，应用程序目录下的dll劫持。

    【活动时间】悬赏活动将会分期进行，本期悬赏时间为：即日起至2013年10月10日

    【举报方式】将举报信息反馈至电子邮箱shadu_fankui@baidu.com，内容包含但不仅限于以下几点：
        1. 涉及漏洞的产品名称、相关软件版本、文件版本
        2. 漏洞的类型
        3. 是否可重现，重现此漏洞的步骤和方法
        4. POC或利用代码
        5. 您认为攻击者可能如何利用这个漏洞
        6. 其他

    【其他说明】
   1、百度安全中心、百度杀毒、百度卫士已知的重复举报不在悬赏范围内
        2、举报前请先阅读和了解微软官方相关文档《安全漏洞的定义》和《10条安全的永恒定律》
        3、本次活动意在集中收集百度杀毒、百度卫士产品漏洞，更好的完善产品，所以提高了奖励额度，限制了参与时间。活动期外，您有任何对百度安全产品的漏洞举报，都欢迎反馈至百度安全中心（http://sec.baidu.com/）。
    百度安全团队会严谨对待并严格分析您提供的举报信息，对于符合奖励条件的举报者给予公开感谢和奖励！
    本次活动解释权归百度所有。

活动官方地址：http://anquan.baidu.com/bbs/thread-10589-1-1.html

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)