2022-12-1DJI
DJI 作为世界无人机领域的领导者,一直将构建安全产品生态视作公司持续发展的关键。自2017年成立漏洞奖励计划,DJI 与全球安全专家的开放合作、携手相助,构筑安全”疆“湖。有“疆”湖的地方就有守疆者,有守疆者的地方更能成就极致、不妥协的“疆”湖故事!
在 DJI 安全应急响应中心(DSRC)创建五周年之际,为感激 DJI 守疆者们一直以来与我们并肩战斗,DJI 安全应急响应中心正式发布 “五周年庆典 | DSRC 服务器漏洞双倍奖励活动”,诚邀各路安全专家共同参与。
2022/12/04 - 2023/01/06
本次活动的域名范围与《DJI安全应急响应中心漏洞处理与评级标准》中限定的范围一致,双倍奖励活动范围仅限服务器漏洞。
漏洞名称需注明【五周年】,若无则视为不参加本次活动。
提交的服务器漏洞报告,依据《DJI安全应急响应中心漏洞处理与评级标准》被评定为有效漏洞者,将获得双倍奖励(如下图所示),还会获得神秘礼包;APP 和设备漏洞的奖励则维持不变。
说明
[1]大量: 超过10000条;
[2]敏感信息:指身份证, 护照,信用卡,订单物流信息等信息;
[3]一般信息:指电话号码,邮件地址,用户账户等信息。
在漏洞审核和评级过程中,我们将遵循以下原则:
1. 如果报告的多个漏洞指向同一个漏洞利用影响(例如:利用XSS漏洞打入管理后台,然后在后台造成远程代码执行的漏洞报告),将按照危害级别最高的漏洞进行奖励;
2. 由同一个漏洞源产生的多个漏洞(例如:同一个 JS 引起的多个安全漏洞),一般计漏洞数量为一个;
3. 完整清晰的漏洞报告是获得奖励的基础。如果报告中无法提供漏洞可被实际利用的相关证明(例如:发现网站某组件存在远程代码执行漏洞,但无详细利用流程说明和实际被利用成功的证明),此类情况将被视为报告完整性不足,我们会考虑在《DJI安全应急响应中心漏洞处理与评级标准》的基础上降低漏洞评级或不给予奖励。
如对本次活动有任何疑问或建议,欢迎大家通过bugbounty@dji.com与我们联系。 更多详情请参考《DJI安全应急响应中心漏洞处理与评级标准》。
本次活动一切解释权归大疆安全应急响应中心所有。