微信、QQ 等产品:连接创造价值,应对安全挑战,共建产业生态
从早期的社交通讯平台到如今的智能行业工具,微信、QQ、腾讯会议、企业微信等产品致力于打破信息孤岛,让沟通协作更简单、更高效,让连接创造更大价值。
微信、QQ连接数亿用户,公众号、小程序、视频号、微信支付、企业微信等数字生态创造了超过5000万个就业岗位;腾讯会议用户量超过3亿,为全球220多个国家和地区提供安全的云端沟通协作体验;企业微信帮助企业实现基于连接的智慧管理、智慧生态、智慧服务。
从连接人与人开始,到连接企业与未来技术,形成共赢的产业生态。随着用户数量和需求场景的增加,新的安全风险与挑战必然会出现。
基于此,微信、QQ、腾讯会议、企业微信等团队联合TSRC启动专项公测,诚邀正义之士加入我们,共同守护亿万用户的安全。
多项核心业务,三倍重磅奖励,满足相关条件,单个漏洞奖励最高可达10万元!活动详情公测时间
2023.5.29 11:00 ~2023.6.30 18:00
提交要求
本次测试为事前报名制,参与者需提前在报名入口进行报名,并遵守活动相关规则方可参加测试,方可享受活动奖励,同时还需遵守《漏洞提交基本原则》(详情见文章末尾)。
参赛者需通过腾讯安全应急中心(TSRC)官网【】提交报告,报告标题根据范围以对应业务众包测试开头,如:【微信众包测试】、【QQ众包测试】、【腾讯会议众包测试】、【企业微信众包测试】。
测试范围一:微信
1. 客户范围
微信客户端(含、、iOS、)
2.服务器域名范围(复制打开链接即可查看)
注:本次公测不包含微信上各个有入口的独立业务,比如:客户端:我-设置-插件、发现-购物等。
1. 客户范围
1)QQ最新版本:、、、Mac、、PAD版等,包含QQ基本功能:登录与注册、消息、通讯录、群组、搜索、会员、小世界、频道、QQ空间功能
2)TIM新版本:,,版本(与QQ相同)
2.服务器域名范围(复制打开链接即可查看)
注1:本次公测不包含QQ/TIM上各类独立有入口的服务,例如:
1)直播、小沃、动漫、读书、购物、微视、音乐、App 、吃喝玩乐、本地服务、金融理财、腾讯新闻、腾讯课堂、腾讯视频、游戏中心、邮箱、超级QQ秀等。
2)QQ/TIM小程序框架之外的功能应用。
注2:若QQ与TIM客户端存在相同漏洞,则视为单一漏洞处理。
3.腾讯会议
1.客户端范围(官方最新版本)
腾讯会议客户端(含iOS、微信小程序)
2. 服务器范围
。
。
。
4. 企业微信
1. 客户范围
包括iOS,
2. 服务器域名范围
。
注:企业微信私有版本不参与公测。
三倍奖励 1. 针对符合上述公开测试范围的漏洞,依据 TSRC 现有的评分规则,
高危漏洞:2x
严重漏洞:2x
(贡献值不变)
2. 台铁每月即时现金奖
符合台积电现金奖励标准的严重漏洞,将根据产品不同,分别获得税后1万至5万元人民币以上的奖励。
3. 额外商业奖励
对于活动范围内的高危、严重漏洞,若同时满足以下条件:1)业务额外奖励期限;2)对应业务;3)满足相关奖励规则,业务将获得额外奖励。单项业务奖励池上限25万元,总奖励池上限100万元,先到先得。
微信额外奖励
1)额外奖励期
2023/5/29 11:00-2023/6/11 24:00
2)奖励规则
奖励一:3万元/项。漏洞需属于上述产品范围且风险等级为高危及以上,同时满足以下条件之一:
a)微信票务泄露类漏洞,无需交互即可窃取他人票务,并可以以他人身份向他人微信好友发送完全定制的消息。
b)好友列表泄露漏洞,允许非交互式遍历获取他人完整(至少80%)的微信好友列表。
奖励二:每个漏洞1万元,漏洞须属于上述产品范围内且漏洞等级为高危及以上,还须符合以下条件之一:
a)服务端RCE漏洞,获取微信业务服务器权限。
b)客户端RCE,无需受害者点击或进行任何其他交互即可直接发起攻击(内部正在修复的漏洞除外)。
c) 高危信息泄露漏洞,无需交互即可遍历用户身份信息或直接对业务造成高风险(范围:实名、身份证、手机号、地址、交易信息、聊天记录、VOIP、视频),且需包含2个及以上敏感字段。
d) 一个高危用户信息篡改漏洞,无需交互即可修改用户敏感信息(范围:真实姓名、身份证、手机号、住址、聊天记录),并且需要包含两个及以上的敏感字段。
QQ额外奖励
1)额外奖励期
2023/5/29 10:00-2023/6/11 24:00
2)奖励规则
奖励一:3万元/项。漏洞需属于上述产品范围且风险等级为高危及以上,同时满足以下条件之一:
a)QQ票证泄露型漏洞,可在无需交互的情况下窃取他人票证,并能以他人身份向他人QQ好友发送完全定制的消息。
b)好友列表泄露漏洞,允许非交互式遍历获取他人完整(至少80%)的QQ好友列表。
奖励二:每个漏洞1万元,漏洞须属于上述产品范围内且漏洞等级为高危及以上,还须符合以下条件之一:
a) 客户端RCE漏洞,此类漏洞无需受害者点击或进行任何其他交互即可直接受到攻击(内部正在修复的漏洞除外)。
b)服务端RCE漏洞,获取QQ业务服务器权限。
c) 服务端SSRF/外部代理(可以自由访问腾讯内网,并获取所有内容)。
d)服务端文件读取/XXE(可以读取/etc/的全部内容)。
e) 高危信息泄露漏洞,无需交互即可遍历用户身份信息或直接对业务造成高风险(范围:实名、身份证、手机号、住址、交易信息、聊天记录),且需包含2个及以上敏感字段。
腾讯会议额外奖励
1)额外奖励期
2023/6/12 00:00-2023/6/25 24:00
2)奖励规则
需要详细的漏洞报告和完整可重现的POC。
奖励一:3万元/项。漏洞需属于上述产品范围且风险等级为高危及以上,同时满足以下条件之一:
a) 客户端RCE漏洞,无需受害者点击或进行任何其他交互(不包括原因),即可直接攻击。
b)服务端RCE漏洞,获取腾讯会议服务器权限。
c) 腾讯会议用户敏感信息(范围:实名、身份证、手机号、聊天记录、通讯录)无交互遍历,要求包含两个及以上敏感字段,受影响总数量在5万个以上。
d) 可以无条件进入任意会议,伪造任何人的身份,并以他人的身份向他人发送完全定制的消息。
奖励二:每个漏洞1万元,漏洞须属于上述产品范围内且漏洞等级为高危及以上,还须符合以下条件之一:
a) 非交互式远程客户端或服务器拒绝服务(DOS)漏洞(进程异常退出),不包括发送大量请求导致的资源消耗。
b) 窃取任何会议的所有音频和视频数据或即时通讯聊天内容,无需交互
c) 由此产生的客户端RCE(不包括内部正在修复的漏洞,涉及平台产品的漏洞,必须在Win7、10/11上复现,其他平台不限),无需受害者点击或进行任何其他交互,即可直接攻击。
微商额外奖励
1)额外奖励期
2023/6/12 00:00-2023/6/25 24:00
2)奖励规则
奖励一:3万元/项。漏洞需属于上述产品范围且风险等级为高危及以上,同时满足以下条件之一:
a)企业微信票务泄露类漏洞,无需交互即可窃取他人票务,并可以以他人身份向他人通讯录联系人发送完全定制的消息。
b) 高危信息泄露,无需交互即可跨越用户身份信息或者直接对业务造成高风险(范围:实名、身份证、手机号、地址、交易信息、聊天记录、VOIP、视频、聊天记录),要求包含2个及以上敏感字段。
奖励二:每个漏洞1万元,漏洞须属于上述产品范围内且漏洞等级为高危及以上,还须符合以下条件之一:
a)服务端RCE漏洞,获取企业微信服务器权限。
b) 客户端RCE漏洞,此类漏洞无需受害者点击或进行任何其他交互即可直接受到攻击(内部正在修复的漏洞除外)。
c) 普通员工超越权限,获得当前企业管理员权限(能使用所有管理员功能)。
漏洞提交基本原则
1、测试过程不得损害业务的正常运行,不得以测试漏洞为由,试图利用漏洞损害用户利益、影响业务的正常运行、窃取用户数据。
2.禁止进行内网渗透,包括但不限于利用SSRF或者其他漏洞扫描内网、尝试提升系统权限等。
3.禁止进行网络拒绝服务攻击,包括但不限于DoS、DDos、CC或其他在尝试之前明显已知会影响服务稳定性的拒绝服务攻击。
4、禁止下载与业务相关的敏感数据,包括但不限于源代码、运行数据、用户信息等,如有未经告知的下载行为,须及时解释并删除。
5、测试不限制发送次数的短信功能时,需填写您自己的手机号码,禁止尝试其他用户号码。
6、禁止使用可能造成业务影响的漏洞试用工具,包括但不限于等,使用时需确认不会对业务数据造成破坏性影响。
7、测试过程中若涉及数据获取功能,包括但不限于SQL注入、越权获取用户信息等,应尽量进行人工尝试,且获取数据量不超过10组,报告后也应尽快删除相关数据。
8、在测试越权尝试或其他可能影响用户数据的操作时,要尽量控制对你创建的多个账户产生的内容的尝试,不得影响线上业务中其他用户的正常数据。
9. 禁止进行不涉及TSRC奖励计划的非技术漏洞尝试,例如物理接触、社会工程、网络钓鱼和水坑攻击。
10、我们反对并谴责一切以漏洞测试为借口,利用安全漏洞损害腾讯系统和腾讯用户利益的行为,我们保留对相关行为追究法律责任的权利。
11.漏洞测试及提交指引请参考《腾讯外部威胁情报处理流程》并遵守《SRC行业安全测试规范》。
补充笔记
在漏洞处理过程中,若报告者对处理流程、漏洞评估、漏洞评分等有异议,请通过当前漏洞报告页面的评论功能或页面中的“一键联系处理人员”或“联系值班人员”按钮及时沟通,腾讯安全应急响应中心将本着漏洞报告者利益优先的原则进行处理,更多详情请参考《腾讯对外漏洞报告流程》。
附录:《漏洞评级及奖励标准》,详情请见