【众测挑战赛】第5期-单个漏洞最高奖励可达20万!OPPO浏览器与快应用专场
2023-8-18 17:42:56 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

2023年 OSRC众测挑战赛

第5期 - OPPO浏览器与快应用专场

来咯~

2023年OSRC将举办持续全年的众测挑战赛。

从3月开始,不定期举办多期众测活动。每期有独立的众测范围及挖洞奖励,白帽师傅可自由选择参加的场次(相关奖励方案见每期活动发文)

同时,年终将进行数据统计,获得众测挑战赛年度积分top、有效漏洞数量top、严重高危有效漏洞数量top等等成就的白帽师傅,将有机会获得额外丰厚奖励。具体奖励规则将在年末发布,记得持续关注哦~

01

活动时间

2023年8月18日-9月3日

02

参与方式

仅限OSRC官网提交。以【众测挑战赛第5期】+漏洞名称的标题格式提交。

请注意:标题未按格式要求则视为不参加本次活动

03

奖励规则

本期奖励

OPPO浏览器:

注:
  1. 漏洞已公开指利用OPPO浏览器组件中已经公开的漏洞,比如 webkit、V8公开的漏洞。
  2. 具体奖金会根据用户交互系数在最高奖励基础上动态调整,具体以OSRC审核团队意见为准。
  3. 上述表格所有漏洞均特指二进制漏洞(UAF/Type Confusion等)。
  4. 如果提交的利用链包含第三方未公开漏洞,则该漏洞归OSRC所有,否则按照公开漏洞处理。
  5. 如您所提交的漏洞存在上述表格中的危害,但非二进制漏洞类型,我们将按照OSRC《互联网应用安全漏洞评分标准 v3.0》进行定级奖励。
  6. 达到其他攻击效果的浏览器二进制漏洞将会按照OSRC《互联网应用安全漏洞评分标准 v3.0》进行定级奖励,严重高危漏洞可获得额外奖励1万元整。
  7. 以上漏洞奖励在3万元及以上的,其贡献值统一按照3万计算,其他金额贡献值按照1万计算。
快应用:
  • 有效严重、高危漏洞按照两倍基础奖励,单个漏洞奖励最高可达6万元
  • 有效中危、低危、快应用引擎之上承载的其他OPPO自营RPK业务问题按照OSRC《互联网应用安全漏洞评分标准 v3.0》收取并给予相应奖励
    注:除基础奖励外,翻倍后的奖励将作为额外奖励发放

众测挑战赛-固定奖励

挖洞能手奖励

  • 每期首位提交有效漏洞数≥3个的白帽师傅额外奖励OPPO闪充移动电源(高达定制版)一个

  • 每期首位提交有效漏洞数≥5个的白帽师傅额外奖励SKG颈椎按摩仪一个

(以上奖品如重复获得,可联系运营兑换其他等值礼品)

新人/回归奖励

  • 首次向OSRC提交有效漏洞的白帽将获得额外新人福利B站季卡1张或小欧手办1个(颜色随机)。每个ID限领一份

  • 年以上未在OSRC提交漏洞的白帽师傅本期活动如果提交了有效漏洞,将获得额外福利B站季卡1张每个ID限领一份

  • 提交有效漏洞的白帽均可获得OSRC定制礼品一份(每个ID每期限领一份)

特殊奖励

众测挑战赛从第2期活动开始,连续2期提交有效漏洞的将额外获得 神秘礼品一份

如:众测挑战赛开始后,白帽师傅老K在第1、2、4、5、6、8期都提交了有效漏洞,根据连续2期提交有效漏洞的奖励规则,可在第2、5、6期众测活动后各获得特殊奖励一份。

04

众测目标

仅限以下范围参与本次众测活动:

1.OPPO浏览器

 应用包名:com.heytap.browser
 本号40.8.17.1,可在OPPO软件商店搜索下载
 APK下载地址http://download-test-columbus.wanyol.com/columbus-file-repo/columbus-multitarget-202308/Browser%23_40.8.18.1_06f71bf_a61f2b7_230814_082428_Heytap_rls-20230814-309177474.apk?fileName=Browser%23_40.8.18.1_06f71bf_a61f2b7_230814_082428_Heytap_rls-20230814-309177474.apk&ts=1692004218363&sign=595d3d54971a2a9f125ee67e3602d4348e3bccd56901d7246e2d69304d6bd240818371614bc700f8b31d673bd691950b9e72e034a34bcd69274168bbb9449403 

2.快应用:

业务名称:快应用引擎(快应用引擎APK是承载快应用业务RPK的基础框架)
 快应用引擎版本:7.1.1
 快应用引擎路径:在OPPO软件商店中搜索“快应用”(注: 快应用本身在桌面不可见,可在OPPO软件商店中搜索"快应用中心"拉起体验)
 快应用卡片路径:打开OPPO手机负一屏,点击“我的服务”右边的加号,搜索“美团优选”卡片添加即可体验。

05

接收范围

OPPO浏览器

1.接收范围:

  • OPPO浏览器内核最新稳定版漏洞

  • OPPO系列手机上运行且可复现的漏洞

  • OPPO浏览器内核自有代码漏洞

  • OPPO浏览器内核渲染引擎漏洞

  • OPPO浏览器内核第三方组件漏洞

2.漏洞接收类型:

  • 远程代码执行漏洞

    1)逻辑漏洞导致远程代码执行

    2)各种内存破坏漏洞

    Use after free漏洞

    堆溢出、栈溢出漏洞

    内存信息泄露漏洞

    内存越界读写漏洞

    类型混淆漏洞

  • UXSS:通用跨域漏洞

  • 远程静默安装任意应用

  • 用户敏感信息泄露漏洞

3.不接受漏洞接收类型:

  • 空指针解引用等拒绝服务型漏洞

  • 不可利用的内存破坏漏洞

  • 仅有崩溃日志,无法复现的漏洞

  • 浏览器App暴露组件等导致的本地端漏洞

快应用

1.接受范围:

  • 按OSRC现有公开标准接收。

2.不接受漏洞接收类型:

  • 非快应用引擎自身框架问题

  • 快应用引擎之上承载的任何三方业务问题,如菜鸟驿站快应用等

  • 功能性或资源耗尽类型的临时拒绝服务DoS漏洞

06

注意事项

  • 所有漏洞请通过OSRC官网(security.oppo.com)提交漏洞,漏洞提交时间以官网提交时间为准,标题格式需严格按照要求。

  • 众测挑战赛活动的漏洞奖励不与其他活动的额外现金奖励同享。漏洞需按标题格式提交。按标准格式提交的漏洞,默认仅参与本次活动。一个漏洞不能同时参加多个活动。

  • 众测挑战赛活动的奖金随月度奖励一同发放。如奖金与OSRC现有奖金等级冲突,以奖金高者为准。

  • 参与活动的有效漏洞贡献值将计入当月贡献值排名,可享当月实物奖励(如有)。

  • 如有疑问,可咨询OSRC运营小助手【微信号:opposrc2018】,或加QQ群【551696812】或【320761688】获取活动第一资讯。

  • 本活动最终解释权归OSRC所有。

♫♪  ♫♪  ♫♪  ♫♪  ♫♪ 

最后

转发抽奖走起

重点强调下

一定要认真看规则吖!

奖品:OSRC五周年纪念T恤5件

活动形式:即日起至2023年9月1日,转发本篇文章至朋友圈即可参与抽奖。
抽奖方式:转发文章后关注OSRC公众号,回复“众测挑战赛”,识别小程序即可参与抽奖。
开奖时间:2023年9月2日
兑奖规则:中奖后发送朋友圈截图至公众号后台即可兑奖,需在开奖一周内兑奖。
注意事项(划重点!):
  • 文章转发朋友圈不可设置分组
  • 必须在开奖前转发文章,开奖后转发无效;
  • 兑奖前删除朋友圈取消兑奖资格。

最新动态

  OSRC五周年 | Give me 5!SRC联合众测活动上线,燃爆8月

【众测挑战赛】第4期社区及官网专场(文末有福利)

【众测挑战赛】第3期金融专场,额外奖励加码,还有转发抽奖福利!

【众测挑战赛】第2期查找手机、云服务、帐号及IT服务专场(文末有福利)

【众测挑战赛】全球电商专场众测等你来挑战!

【重大更新】OSRC评分规则升级啦

【重要公告】OSRC季度奖励大升级!


文章来源: https://mp.weixin.qq.com/s?__biz=MzUyNzc4Mzk3MQ==&mid=2247492453&idx=1&sn=2c0dd010126ba1d532cfd8a9d0bee8fd&chksm=fa78e229cd0f6b3feb3d5309f43858836108ac3f458713b0993800515faae48d63d1499c5d07&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh