文章总结: JSRC启动2026年通用漏洞奖励计划,全年针对核心及一般业务的高危严重Web漏洞提供3倍奖金,覆盖SQL注入、XXE、RCE等类型。提交需标注特定标签,测试严禁自动化工具与内网渗透,命令执行类漏洞须提前报备,违规者将不予计分或封号。 综合评分: 65 文章分类: SRC活动,WEB安全,漏洞分析
【活动】通用漏洞全年3倍奖励,百万奖金持续悬赏!!!
原创
JSRC JSRC
京东安全应急响应中心
2026年1月27日 11:01 北京
2026 New Year
🧨马年奔腾 开工大吉🧨
🥳通用活动 再度来袭🥳
⏰️三倍奖励 全年有效⏰️
2025在各位白帽师傅的鼎力支持下
JSRC通用漏洞全年奖金发放100w+!!!
告别收获满满的2025
2026,我们继续3倍奖励,共赴新程!
活动时间
2026年1月27日 11:00 – 12月31日 24:00
提交地址
https://security.jd.com/
提交漏洞时,漏洞标题请添加【通用漏洞】
SRC活动选择【通用漏洞活动】
活动范围
一般业务、核心业务
活动奖励
提交 “Web 通用漏洞”
高危、严重 3倍奖励(额外2倍)
通用漏洞包含
SQL注入、NoSQL注入、XXE、命令注入、动态代码执行、SSRF、任意文件读取、文件上传、目录遍历
业务划分参考
注意事项
1.当发现SSRF漏洞时,应使用京东安全官方提供的url进行测试👉🔗
(http://ssrf.jd.local/c3f3f53c12674acdc9855f47b85299f0.html)否则视为无效,且不予计分;
-
当发现命令执行类漏洞时,应及时联系JSRC运营进行报备,经授权后才可继续测试,否则视为无效,且不予计分;
-
当发现SQL注入类漏洞时,应采取手工注入,仅允许读取数据库名,禁止读取表内容,否则不予计分;
-
测试使用的账号应说明账号来源,否则视为盗用账号,不予计分;
-
请严格遵守测试规范,若有疑问可联系运营人员
风险操作
-
测试时禁止使用扫描器或其他自动化工具,仅允许手工测试,若影响业务运行则封号处理;
-
禁止对业务进行拒绝服务DOS,DDOS测试,包括:Syn Flood,cc,各类反射等;
-
未经京东授权,禁止进行内网渗透测试,如:获取目标后利用目标进行内网扫描/探测,提权,植入后门/rootkit等行为;
-
未经京东授权,禁止利用漏洞下载或保存业务代码,配置,如已保存应及时报备并删除;
-
未经京东授权,禁止使用邮件钓鱼/社工等方式攻击内部员工。
测试规范完整版请戳👇
互动有礼
崭新的2026年已然开启,你的心中是否已写下新的目标与期待?
即日起到1月30日下午2点,在下方留言区分享你的新年目标或对JSRC的建议/祝福。点赞前3名,都将直接解锁JSRC【新年礼盒】一份!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:京东安全应急响应中心 JSRC JSRC《【活动】通用漏洞全年3倍奖励,百万奖金持续悬赏!!!》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论