活动时间：

2024.10.14-11.11

活动范围：

仅双十一大促零售相关

1.价格漏洞（如：0元购）

2.营销活动风险、账号风险情报

3.百亿补贴活动、国补活动、黑产软件、黄牛、刷单、索赔、打假相关情报

提交格式：

1.漏洞标题请添加【风控】

2.公司部门选择 京东风控

活动奖励：

有效漏洞四倍奖励（额外三倍现金奖励）

【注】

涉及百亿补贴情报将优先处理

活动时间：

2024.10.1-12.31

活动范围：

一般业务、核心业务

活动奖励：

1.Q4季度提交高危/严重漏洞数量达到25个，本季度所有高危/严重漏洞将获得额外1倍奖励

2.Q4季度提交高危/严重漏洞数量达到12个，本季度所有高危/严重漏洞将获得额外0.5倍奖励

3.Q4季度提交高危/严重漏洞数量达到5个，本季度所有高危/严重漏洞将获得额外0.2倍奖励

【注】

1.漏洞基础奖励以积分形式发放，额外奖励活动结束后统一发放

2.高质量活动不包括边缘业务漏洞

3.高质量活动不与其他翻倍活动共享，例参与了双十一等其他活动的有效翻倍高危则不计数至此活动

1、当发现SSRF漏洞时，应使用京东安全官方提供的url进行测试

（http://ssrf.jd.local/c3f3f53c12674acdc9855f47b85299f0.html），否则视为无效，且不予计分

2、当发现命令执行类漏洞时，应及时联系JSRC运营进行报备，经授权后才可继续测试，否则视为无效，且不予计分

3、当发现SQL注入类漏洞时，应采取手工注入，且获取的数据量不能超过50条，禁止使用自动化工具，否则不予计分

4、测试使用的账号应说明账号来源，否则视为盗用账号，不予计分

1、未经京东授权，禁止进行内网渗透测试，如：获取目标后利用目标进行内网扫描/探测，提权，植入后门/rootkit等行为

2、未经京东授权，禁止对业务进行拒绝服务DOS，DDOS测试，包括：Syn Flood，cc，各类反射等

3、未经京东授权，禁止利用漏洞下载或保存业务代码，配置，如已保存应及时报备并删除

4、未经京东授权，禁止使用邮件钓鱼/社工等方式攻击内部员工

请各位师傅严格遵守JSRC的规则挖洞，祝大家收获满满！