2023年 OSRC众测挑战赛
第5期 - OPPO浏览器与快应用专场
来咯~
2023年OSRC将举办持续全年的众测挑战赛。
从3月开始,不定期举办多期众测活动。每期有独立的众测范围及挖洞奖励,白帽师傅可自由选择参加的场次(相关奖励方案见每期活动发文)。
同时,年终将进行数据统计,获得众测挑战赛年度积分top、有效漏洞数量top、严重高危有效漏洞数量top等等成就的白帽师傅,将有机会获得额外丰厚奖励。具体奖励规则将在年末发布,记得持续关注哦~
01
活动时间
2023年8月18日-9月3日
02
参与方式
仅限OSRC官网提交。以【众测挑战赛第5期】+漏洞名称的标题格式提交。
请注意:标题未按格式要求则视为不参加本次活动
03
奖励规则
本期奖励
OPPO浏览器:
漏洞已公开指利用OPPO浏览器组件中已经公开的漏洞,比如 webkit、V8公开的漏洞。 具体奖金会根据用户交互系数在最高奖励基础上动态调整,具体以OSRC审核团队意见为准。 上述表格所有漏洞均特指二进制漏洞(UAF/Type Confusion等)。 如果提交的利用链包含第三方未公开漏洞,则该漏洞归OSRC所有,否则按照公开漏洞处理。 如您所提交的漏洞存在上述表格中的危害,但非二进制漏洞类型,我们将按照OSRC《互联网应用安全漏洞评分标准 v3.0》进行定级奖励。 达到其他攻击效果的浏览器二进制漏洞将会按照OSRC《互联网应用安全漏洞评分标准 v3.0》进行定级奖励,严重高危漏洞可获得额外奖励1万元整。 以上漏洞奖励在3万元及以上的,其贡献值统一按照3万计算,其他金额贡献值按照1万计算。
有效严重、高危漏洞按照两倍基础奖励,单个漏洞奖励最高可达6万元 有效中危、低危、快应用引擎之上承载的其他OPPO自营RPK业务问题按照OSRC《互联网应用安全漏洞评分标准 v3.0》收取并给予相应奖励 注:除基础奖励外,翻倍后的奖励将作为额外奖励发放
众测挑战赛-固定奖励
挖洞能手奖励
每期首位提交有效漏洞数≥3个的白帽师傅额外奖励OPPO闪充移动电源(高达定制版)一个
每期首位提交有效漏洞数≥5个的白帽师傅额外奖励SKG颈椎按摩仪一个
新人/回归奖励
首次向OSRC提交有效漏洞的白帽将获得额外新人福利B站季卡1张或小欧手办1个(颜色随机)。每个ID限领一份
一年以上未在OSRC提交漏洞的白帽师傅本期活动如果提交了有效漏洞,将获得额外福利B站季卡1张。每个ID限领一份
提交有效漏洞的白帽均可获得OSRC定制礼品一份(每个ID每期限领一份)
特殊奖励
众测挑战赛从第2期活动开始,连续2期提交有效漏洞的将额外获得 神秘礼品一份
如:众测挑战赛开始后,白帽师傅老K在第1、2、4、5、6、8期都提交了有效漏洞,根据连续2期提交有效漏洞的奖励规则,可在第2、5、6期众测活动后各获得特殊奖励一份。
04
众测目标
仅限以下范围参与本次众测活动:
1.OPPO浏览器
● 应用包名:com.heytap.browser
● 版本号:40.8.17.1,可在OPPO软件商店搜索下载
● APK下载地址:http://download-test-columbus.wanyol.com/columbus-file-repo/columbus-multitarget-202308/Browser%23_40.8.18.1_06f71bf_a61f2b7_230814_082428_Heytap_rls-20230814-309177474.apk?fileName=Browser%23_40.8.18.1_06f71bf_a61f2b7_230814_082428_Heytap_rls-20230814-309177474.apk&ts=1692004218363&sign=595d3d54971a2a9f125ee67e3602d4348e3bccd56901d7246e2d69304d6bd240818371614bc700f8b31d673bd691950b9e72e034a34bcd69274168bbb9449403
2.快应用:
● 业务名称:快应用引擎(快应用引擎APK是承载快应用业务RPK的基础框架)
● 快应用引擎版本:7.1.1
● 快应用引擎路径:在OPPO软件商店中搜索“快应用”(注: 快应用本身在桌面不可见,可在OPPO软件商店中搜索"快应用中心"拉起体验)
● 快应用卡片路径:打开OPPO手机负一屏,点击“我的服务”右边的加号,搜索“美团优选”卡片添加即可体验。
05
接收范围
OPPO浏览器
1.接收范围:
OPPO浏览器内核最新稳定版漏洞
OPPO系列手机上运行且可复现的漏洞
OPPO浏览器内核自有代码漏洞
OPPO浏览器内核渲染引擎漏洞
OPPO浏览器内核第三方组件漏洞
2.漏洞接收类型:
远程代码执行漏洞
1)逻辑漏洞导致远程代码执行
2)各种内存破坏漏洞
Use after free漏洞
堆溢出、栈溢出漏洞
内存信息泄露漏洞
内存越界读写漏洞
类型混淆漏洞
UXSS:通用跨域漏洞
远程静默安装任意应用
用户敏感信息泄露漏洞
3.不接受漏洞接收类型:
空指针解引用等拒绝服务型漏洞
不可利用的内存破坏漏洞
仅有崩溃日志,无法复现的漏洞
浏览器App暴露组件等导致的本地端漏洞
快应用
1.接受范围:
按OSRC现有公开标准接收。
2.不接受漏洞接收类型:
非快应用引擎自身框架问题
快应用引擎之上承载的任何三方业务问题,如菜鸟驿站快应用等
功能性或资源耗尽类型的临时拒绝服务DoS漏洞
06
注意事项
所有漏洞请通过OSRC官网(security.oppo.com)提交漏洞,漏洞提交时间以官网提交时间为准,标题格式需严格按照要求。
众测挑战赛活动的漏洞奖励不与其他活动的额外现金奖励同享。漏洞需按标题格式提交。按标准格式提交的漏洞,默认仅参与本次活动。一个漏洞不能同时参加多个活动。
众测挑战赛活动的奖金随月度奖励一同发放。如奖金与OSRC现有奖金等级冲突,以奖金高者为准。
参与活动的有效漏洞贡献值将计入当月贡献值排名,可享当月实物奖励(如有)。
如有疑问,可咨询OSRC运营小助手【微信号:opposrc2018】,或加QQ群【551696812】或【320761688】获取活动第一资讯。
本活动最终解释权归OSRC所有。
最新动态
OSRC五周年 | Give me 5!SRC联合众测活动上线,燃爆8月
【众测挑战赛】第3期金融专场,额外奖励加码,还有转发抽奖福利!
如有侵权请联系:admin#unsafe.sh