Hành ổn trí xa, QQ×TSRC chuyên nghiệp chúng trắc đã mở ra
Còn nhớ rõ ngươi cái thứ nhất QQ nick name sao? Từ một chọi một cửa sổ đối thoại, phòng nói chuyện, đến không gian, album, trò chơi, qua đi 23 năm, QQ mỗi ngày số lượng trăm triệu người dùng cung cấp ưu tú xã giao phục vụ.
Qua đi 23 năm, chúng ta ở QQ mở rộng cửa lòng, tương lai, QQ cũng đem trước sau bạn ngươi đồng hành, bảo hộ ngươi tốt đẹp thời gian.
Vì bảo hộ QQ người dùng an toàn, bảo đảm nghiệp vụ ổn định vận hành, QQ đoàn đội liên hợp TSRC khởi động chuyên nghiệp chúng trắc, thành chinh quảng đại bạch mũ sư phó,Đối QQ, TIM mới nhất phiên bản cập riêng phục vụ đoan tiến hành an toàn chúng trắc, cũng thiết tríTam trọng phong phú khen thưởng.
Cùng nhau gia nhập bảo hộ QQ an toàn hàng ngũ đi ~
Lần này thí nghiệm vì dự báo danh chế, tham dự giả cần ở báo danh nhập khẩu trước tiên báo danh, cũng tuân thủ hoạt động tương quan quy tắc tiến hành thí nghiệm, mới có thể hưởng thụ hoạt động khen thưởng, tham dự giả cần đồng thời tuân thủ 《Lỗ hổng đệ trình cơ bản nguyên tắc》.
Tham dự giả cần thông qua Đằng Tấn an toàn khẩn cấp hưởng ứng trung tâm ( TSRC ) official website [security.tencent] đệ trình, tiêu đề lấy “[QQ chúng trắc ]”Mở đầu, tới trước thì được.
WeChat /QQ quét mã báo danh👇
QQ quét mã gia nhập phía chính phủ chúng trắc đàn👇
Hoạt động tình hình cụ thể và tỉ mỉ như sau
1, hoạt động thời gian
2022 năm 11 nguyệt 14 ngày 10:00 ~ 12 nguyệt 2 ngày 18:00
2, hoạt động phạm vi
1 ) bản cài đặt
Phạm vi 1, tân bản QQ:
Android, iPhone, Windows, Mac, Linux, PAD bản chờ, bao hàm QQ cơ sở công năng: Đăng nhập đăng ký, tin tức, liên hệ người, đàn, tìm tòi, hội viên, tiểu thế giới, kênh, QQ không gian công năng.
* bao hàm nhưng không giới hạn trong, như có không xác nhận thỉnh trước liên hệ QQ đàn nội hoạt động đồng học
Phạm vi 2, tân bản TIM:
Windows, iPhone, Android bản ( cùng QQ ).
Thỉnh chú ý:Lần này hoạt động phạm vi chỉ nhằm vào mới nhất phiên bản QQ/ mới nhất phiên bản TIM.Bản cài đặt download liên tiếp như sau:
QQ mới nhất bản download:
https://im.qq /download/
TIM mới nhất bản download:
https://office.qq /download.html
2 ) phục vụ đoan
Hạn định riêng vực danh phạm vi (Phục chế cũng mở ra liên tiếp xem xét ):
https://doc.weixin.qq /sheet/e3_APkAcwaEACcU1eaFAUhQQqx9GYUvW?scode=AJEAIQdfAAoYzn2zppAMsApwYLACo
Thỉnh chú ý:
a) lần này chúng trắc không bao hàm các loại chở khách nhập khẩu với QQ/TIM thượng độc lập nghiệp vụ, tỷ như:
--- phát sóng trực tiếp, tiểu oa, manga anime, đọc, mua sắm, hơi coi, âm nhạc, ứng dụng bảo, ăn nhậu chơi bời, cùng thành phục vụ, quản lý tài sản thông, Đằng Tấn tin tức, Đằng Tấn lớp học, Đằng Tấn video, trò chơi trung tâm, hộp thư, siêu cấp QQ tú chờ.
---QQ/TIM tiểu trình tự tự thân dàn giáo ngoại công năng ứng dụng.
b) QQ, TIM bản cài đặt đồng thời tồn tại cùng cái lỗ hổng tình huống, dựa theo đơn cái lỗ hổng xử lý.
3 ) lỗ hổng yêu cầu
Bản cài đặt lỗ hổng yêu cầu ở mới nhất bản nhưng xuất hiện lại.
Phục vụ đoan lỗ hổng không cần cầu ở mới nhất bản nhưng xuất hiện lại.
3, nhiều giải thưởng lớn lệ cơ chế
1 ) TSRC lỗ hổng an toàn tệ phiên bội khen thưởng
Hoạt động trong phạm vi hữu hiệu cao nguy / nghiêm trọng lỗ hổng, an toàn tệ phiên bội ( cống hiến giá trị không gấp đôi )
2 ) TSRC hàng tháng tức thời tiền mặt khen thưởng
Phù hợp TSRC tức thời tiền mặt khen thưởng tiêu chuẩn nghiêm trọng lỗ hổng, căn cứ thực tế tình huống trao tặng thuế sau 1-5 vạn nhân dân tệ khen thưởng.
3 ) nghiệp vụ thêm vào khen thưởng
Tương quan cao nguy, nghiêm trọng lỗ hổng, giống như khi thỏa mãn tương quan lợi dụng điều kiện, nhưng đạt được Đằng Tấn nghiệp vụ thêm vào khen thưởng. Thưởng trì hạn mức cao nhất 50000 nguyên, tới trước thì được. Lần này nghiệp vụ thêm vào khen thưởng quy tắc như sau:
Nghiệp vụ thêm vào khen thưởng một:30000 nguyên / cái, yêu cầu lỗ hổng cấp bậc vì nghiêm trọng, thả đồng thời thỏa mãn dưới trong đó một điều kiện
--- có thể vô lẫn nhau ăn trộm người khác phiếu định mức / quyền hạn, hơn nữa có thể lấy người khác thân phận hướng người khác QQ bạn tốt gửi đi tùy ý nhưng tự định nghĩa tin tức.
--- bạn tốt danh sách tiết lộ loại hình lỗ hổng, có thể vô lẫn nhau biến lịch thu hoạch người khác hoàn chỉnh ( ít nhất 80%) QQ bạn tốt danh sách.
Ghi chú rõ: Vô lẫn nhau là chỉ người khác chỉ thu được trò chuyện riêng / đàn tin tức hoặc là không cần người khác bất luận cái gì thao tác, có thể kích phát lỗ hổng.
Nghiệp vụ thêm vào khen thưởng nhị:10000 nguyên / cái, yêu cầu lỗ hổng cấp bậc vì cao nguy hiểm cho trở lên, thả đồng thời thỏa mãn lấy dưới trong đó một điều kiện
---RCE lỗ hổng, thu hoạch QQ nghiệp vụ server quyền hạn
---ssrf / ngoại võng đại lý ( có thể phỏng vấnhttp://tst.qq /flag.html,Đồng thời thu hoạch đến giao diện flag toàn bộ nội dung )
--- văn kiện đọc lấy / xxe ( có thể đọc lấy /etc/passwd toàn bộ nội dung )
--- cao nguy hiểm tin tức tiết lộ lỗ hổng, nhưng vô lẫn nhau biến lịch người dùng thân phận tin tức hoặc trực tiếp đối nghiệp vụ tạo thành cao nguy hiểm tin tức ( phạm vi: Tên họ thật, thân phận chứng, số di động, địa chỉ, giao dịch tin tức, lịch sử trò chuyện ), yêu cầu bao hàm hai cái cập trở lên mẫn cảm tự đoạn.
Lỗ hổng đệ trình cơ bản nguyên tắc
1, thí nghiệm quá trình không được tổn hại nghiệp vụ bình thường vận hành, bất đắc dĩ thí nghiệm lỗ hổng lấy cớ nếm thử lợi dụng lỗ hổng tổn hại người dùng ích lợi, ảnh hưởng nghiệp vụ bình thường vận hành hoặc ăn trộm người dùng số liệu chờ hành vi.
2, cấm nội võng thẩm thấu hành vi, bao gồm nhưng không giới hạn trong lợi dụng SSRF hoặc mặt khác lỗ hổng rà quét nội võng, nếm thử hệ thống đề quyền chờ hành vi.
3, cấm tiến hành internet cự tuyệt phục vụ công kích, bao gồm nhưng không giới hạn trong DoS, DDos, CC hoặc mặt khác minh xác ở nếm thử trước cũng biết sẽ ảnh hưởng phục vụ ổn định tính cự tuyệt phục vụ công kích.
4, cấm download cùng nghiệp vụ tương quan mẫn cảm số liệu, bao gồm nhưng không giới hạn trong nguyên số hiệu, hoạt động số liệu, người dùng tư liệu chờ, nếu tồn tại không hiểu rõ download hành vi, cần kịp thời thuyết minh cùng xóa bỏ.
5, ở thí nghiệm chưa hạn chế gửi đi số lần tin nhắn công năng khi, cần điền chính mình số di động, cấm đối mặt khác người dùng dãy số tiến hành nếm thử.
6, cấm sử dụng khả năng tạo thành nghiệp vụ ảnh hưởng lỗ hổng nếm thử công cụ, bao gồm nhưng không giới hạn trong SQLMap chờ, sử dụng khi cần xác nhận sẽ không đối nghiệp vụ số liệu tạo thành phá hư tính ảnh hưởng.
7, ở thí nghiệm trong quá trình như bao hàm số liệu thu hoạch công năng khi, bao gồm nhưng không giới hạn trong SQL rót vào, người dùng tư liệu vượt quyền thu hoạch chờ, ứng tận khả năng áp dụng tay động nếm thử, thả thu hoạch số liệu lượng không thể vượt qua 10 tổ, tương quan số liệu cũng cần ở báo cáo sau mau chóng xóa bỏ.
8, thí nghiệm vượt quyền nếm thử hoặc mặt khác khả năng ảnh hưởng người dùng số liệu thao tác khi, cần tận khả năng đem nếm thử khống chế ở chính mình sáng tạo nhiều tài khoản sinh thành nội dung trung, không được ảnh hưởng đến tuyến thượng nghiệp vụ trung mặt khác người dùng bình thường số liệu.
9, cấm thông qua vật lý tiếp xúc, xã hội công trình học, câu cá, vũng nước chờ không đề cập TSRC khen thưởng kế hoạch phi kỹ thuật lỗ hổng nếm thử.
10, chúng ta phản đối cùng khiển trách hết thảy lấy lỗ hổng thí nghiệm vì lấy cớ, lợi dụng an toàn lỗ hổng tiến hành phá hư, tổn hại Đằng Tấn hệ thống cập Đằng Tấn người dùng ích lợi công kích hành vi, đối tương quan hành vi chúng ta giữ lại truy cứu pháp luật trách nhiệm quyền lợi.
11, lỗ hổng thí nghiệm cùng đệ trình chuẩn tắc thỉnh tham chiếu 《 Đằng Tấn phần ngoài uy hiếp tình báo xử lý lưu trình 》 cùng tuân thủ 《SRC ngành sản xuất an toàn thí nghiệm quy phạm 》.
Bổ sung thuyết minh
Ở lỗ hổng xử lý trong quá trình, nếu báo cáo giả đối xử lý lưu trình, lỗ hổng bình định, lỗ hổng cho điểm chờ có dị nghị, thỉnh thông qua trước mặt lỗ hổng báo cáo giao diện bình luận công năng hoặc là giao diện trung “Một kiện liên hệ xử lý nhân viên”, “Liên hệ trực ban nhân viên” cái nút kịp thời câu thông. Đằng Tấn an toàn khẩn cấp hưởng ứng trung tâm đem căn cứ lỗ hổng báo cáo giả ích lợi ưu tiên nguyên tắc tiến hành xử lý, lúc cần thiết nhưng dẫn vào phần ngoài nhân sĩ cộng đồng quyết định. Càng nhiều tình hình cụ thể và tỉ mỉ thỉnh tham chiếu “Đằng Tấn phần ngoài lỗ hổng báo cáo xử lý lưu trình”.
Phụ: 《 lỗ hổng bình xét cấp bậc cập khen thưởng tiêu chuẩn 》,Tình hình cụ thể và tỉ mỉ thỉnh tham khảo
https://security.tencent /uploadimg_dir/other/TSRC.pdf