OSRC 2024年度颁奖典礼在深圳完美落幕
2024-12-31 09:1:0 Author: mp.weixin.qq.com(查看原文) 阅读量:1 收藏
2024年12月28日,OSRC在深圳隆重举办了2024年度颁奖典礼。此次盛会不仅是对过去一年优秀白帽子们成绩的肯定,更是对未来网络安全事业的展望与期待。
2024
OSRC年度颁奖典礼
参观OPPO大本营

典礼当天,上午我们带领白帽师傅们前往东莞,参观了OPPO的大本营——SMT产线。通过近距离观察生产线的运作,大家深入了解了OPPO公司的发展历程和前沿的技术实力。过程中,专业导览员详细介绍了OPPO的企业文化与价值观,使大家深刻体会到OPPO对于创新与安全的不懈追求。

OPPO数据中心

了解OPPO企业发展史

使用OPPO产品

参观OPPO安全与隐私保护信任中心

集体合影

左右滑动查看更多

午后团建,欢乐无限

中午,我们为大家精心安排了一场丰盛的午餐,师傅们在享受美食的同时也进行了非常友好的交流。而后进行的团建活动更是将气氛推向高潮。大家在室内攀岩和闯关挑战中展现出拼搏与协作精神,欢声笑语不绝于耳。最为有趣的莫过于独有的室内滑雪体验,师傅们在滑雪场上尽情驰骋,尽享乐趣与刺激。

左右滑动查看更多

颁奖典礼,荣耀加身

晚上颁奖典礼在凉爽的海边正式拉开帷幕。首先,由OPPO安全与隐私保护总经理韩方先生为大家带来了热情洋溢的开场致辞。他肯定了白帽子们在过去一年中的卓越表现,并表达了对未来合作的美好期许。

接下来,进入了最令人瞩目的颁奖环节。我们对2024年度OSRC TOP 10的白帽们进行了表彰,这些师傅们以其深厚的技术功底和无畏的探索精神,成为了网络安全战线上的佼佼者。
此外,OSRC也为今年有突出贡献的优秀个人和团队进行了特别奖励,感谢他们的辛勤付出与无私奉献。

超丰厚奖品

OPPO安全与隐私保护总经理韩方先生现场致辞

OSRC 24年度白帽排行榜年度TOP1: elevenk1

OSRC 24年度白帽排行榜年度TOP2: 久伴Lo

OSRC 24年度白帽排行榜年度TOP3: 林锋c

OSRC 24年度白帽排行榜年度TOP4: cccyou

OSRC 24年度白帽排行榜年度TOP5: 之梦之梦

OSRC 24年度白帽排行榜年度TOP6-10: 

iiiiiinv、broczhang、O口OQAQ、Met32、小如酸

左右滑动查看更多

OSRC 24年忠实之星奖: 

林锋c、elevenk1、ZhenZhen423、小如酸、天天睡大觉_、飞天小菜鸡

OSRC 24年度漏洞狙击者: 久伴Lo

OSRC 24年漏洞神枪手: elevenk1

OSRC 24年度优质新人: iiiiiinv

左右滑动查看更多

OSRC24年度优秀战队:Day1安全团队、eleven、无界安全

白金VIP:elevenk1

如何成为OSRC白金VIP请戳:【全新上线】OSRC VIP白金计划正式上线

审核Q&A

为了更加拉近白帽师傅和审核师傅之间的距离,我们特别安排了审核Q&A环节,现场为白帽师傅们答疑解惑。

Q
在编写报告时,对于漏洞描述的详细程度有没有什么具体要求

A: 一份完整的漏洞报告一般包含如下几个部分:

•有详细的问题描述(问题是什么) 

•提供可操作的漏洞复现步骤 

•必要的日志 

•能够运行的POC文件

Q
之前不是有一个漏洞质量报告奖,可以分享一个优质漏洞报告的案例不?也想请审核大佬分享下那些关键点会被定义为优质报告。

A: 一份优质的报告可能包含以下特点:
1.漏洞本身质量较高
 -》首发性:该漏洞首次被内部安全人员知悉,属于内部的0day,帮助内部完善漏洞知识库
 -》业务价值高:漏洞危害大,涉及业务范围广,或者利用条件低
 -》技术难度:该漏洞的挖掘发现具有一定的技术难度,挖掘过程运用了复杂的手段、新思路、新方法等
 -》触发复杂性:漏洞的触发可能依赖特殊的输入、特定的环境或多步骤操作,这使其难以被广泛检测到,增加内部发现的难度和修复的必要性。

2.漏洞报告质量高,以下内容均描述清晰:
 -》漏洞的触发路径:哪个功能、哪个页面或者什么操作会触发这个漏洞,方便审核人员迅速定位漏洞点
 -》漏洞的触发条件:存在漏洞的账号类型、应用版本或者手机型号版本等,方便审核人员定位问题范围
 -》漏洞分析过程:描述清楚分析过程,便于审核人员跟深层理解漏洞出现的原因,可能会识别到普适性的一些修复方案
 -》利用过程:用的什么方法,什么工具,什么脚本等来利用这个漏洞,能够支持审核人员无需额外的沟通就能快速复现漏洞
 -》修复建议完善:对漏洞能够提供完善的修复建议甚至Patch

此外,在漏洞审核过程中,如果审核人员有疑问的,积极支持审核人员的工作(在安全合规的情况下提供测试账号名称、关键信息截图等)也是非常加分的。
综上,是否是一份优秀的报告,以上是审核团队评估参考的点,具体会根据实际的漏洞来综合评估。

Q
众测有打算开一些平时不开放的资产吗?

A: 目前能看到的资产都已经给大家公开测试,并没有不开放的资产。

Q
想了解下关于漏洞等级的评分,比如核心高危,从来没见过给8000,这种给最高档是怎么评定的

A: 1、第一种情况就是高危,但危害又比较大,然而实际等级又给不到严重的,就会酌情提升为高档
2、遇到严重或高危漏洞,OSRC内部会有至少3个以上审核人员进行评审,根据漏洞实际危害,超半数同意最高档就会被评定为最高档。

Q
遇上众测活动,如果挖到一个站出现很多同类型的漏洞,打包漏洞提交or单独分开提交收益更大?

A: 1、我们鼓励同类型漏洞打包提交。打包漏洞能够帮助我们更清晰地理解漏洞的影响范围,制定通用的修复方案,对我们来讲更有价值。打包提交的漏洞我们会结合漏洞整体危害性和影响范围进行综合评估,提高奖励进行激励,确保努力得到相应的回报。
2、分开提交的话,提交第一个的时候,可能业务就已经知道有这类问题并进行全面排查,后续的漏洞有忽略的风险。

Q
审核是如何处理有异议的漏洞报告的?有什么标准的流程吗?

A: 针对有异议的漏洞建议先和审核在漏洞报告留言板和审核进行沟通,若沟通无果,可以通过发送邮件至公共邮箱security@ oppo.com,我们将转发异议邮件给相关审核并cc上级主管,相关审核会拉上审核组其他同事对异议漏洞进行评审,一般在2-3个工作日内会给到异议回复。

展望未来,继续前行

在此,我们再次对所有获奖者表示衷心的祝贺和感谢。是你们的执着与努力,才能为OPPO的业务、用户和产品安全与隐私添砖加瓦。未来,OSRC将继续致力于推动网络安全事业的发展,与各位白帽师傅们携手并肩,共同迎接更加安全的未来。

期待明年与大家再会!

最新动态

OPPO全球首个安全与隐私信任中心正式发布

【换薪升级】互联网应用、终端安全、安全情报奖励、季度奖励全线更新!

【全新上线】OSRC VIP白金计划正式上线


文章来源: https://mp.weixin.qq.com/s?__biz=MzUyNzc4Mzk3MQ==&mid=2247494127&idx=1&sn=66b3069772e4469f6d59fe463049c089&chksm=fa78e8a3cd0f61b50cb044338402ca7573fa1e28324dc3d3b6c9934df7f9025a7810b818e69f&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh