文章总结： ByteSRC开启入侵类漏洞专测活动，至3月22日结束。全线业务升级高系数，高危/严重漏洞额外奖2万元，另有新人与伯乐福利。测试聚焦SSRF、RCE等入侵风险，严禁未授权内网渗透及自动化扫描，敏感操作须提前报备。违规将受处罚，旨在激励挖掘高危隐患。 综合评分： 45 文章分类： SRC活动,渗透测试

ByteSRC入侵类漏洞限时享高系数奖励，高危额外再奖2w元！新人&伯乐礼同步上线！

字节跳动安全中心

2026年3月6日 16:18 北京

ByteSRC入侵类漏洞专测开启！

活动期间全线业务限时升级为高系数

新人启航礼・伯乐引荐礼

多重福利等你来解锁

诚邀各位安全师傅积极参与

共探安全，同享嘉奖！

活动时间

3月6日-3月22日

奖励范围

#全线业务入侵类漏洞#

可实现入侵字节内网效果的逻辑与技术漏洞，重点关注 SSRF、RCE、反序列化、WebShell上传获取服务器控制权等

激励规则

奖励一：系数升级+丰厚现金

活动期间所有业务限时升级为高系数

在系数升级基础上每个高危/严重额外奖励20000元

🌰：漏洞为高危2级，奖励可得2.4w+2w=4.4w💰

奖励二：新人有礼

2026年未提交过有效漏洞的用户

• 提交高危/严重额外奖励1000元/个
• 提交中危漏洞额外奖励价值399元充电头套装1份（限前20名）

奖励三：伯乐有礼

呼朋引伴来挖洞，伯乐有礼加鸡腿🍗

老用户邀请新用户提交有效高危/严重漏洞

• 推荐≥2人，奖励伯乐 1000元/人
• 推荐≥3人，奖励伯乐 1500元/人

参与方式：受邀人报告标题需备注伯乐id

*老用户：提交过报告的用户 *新用户：未提交过有效高危/严重漏洞的用户（受邀用户与奖励二不叠加）

活动说明

1、报告提交地址：src.bytedance.com

2、活动奖励发放说明：无需备注，活动期间提交有效漏洞，默认享有活动奖励；漏洞审核后通过后仅发放基础积分，活动额外奖励积分将在所有报告审核完毕后下发至平台账户。

3、伯乐有礼规则说明：受邀人提交报告在标题备注伯乐ID，奖金以ID计数，多邀多得，未备注则默认不参加伯乐有礼活动

4、活动期间所有报告依据《报告处置规则V6.0》进行等级判定与奖励

5、活动期间有任何问题可通过平台留言&邮箱：[email protected] 联系我们

6、当发现入侵类风险后需周知平台，经授权后才能进行进一步测试，报备方式：

所有敏感测试测试行为需提前报备，未经提前报备的测试结果不予以漏洞奖励。包括但不限于：反弹shell、容器逃逸、修改任意管理员账号密码、删改数据、文件上传等。

🆕请填写问卷

https://bytedance.larkoffice.com/share/base/form/shrcnrc362x10iXj5YhrHHBHEjc

并将详细信息发送给[email protected]邮箱，将有专人评估，如授权测试则会通过邮箱给您反馈。

📧 邮件标题：【测试报备】业务/产品名+测试行为+昵称

测试规则

核心原则

1、合法化原则：所有测试行为必须遵守《网络安全法》《数据安全法》《个人信息保护法》等法律法规要求。

2、无害化原则：禁止进行可能引起用户利益受损、业务异常运行的测试行为。

通用测试规则

1、禁止使用可能造成业务影响的测试工具和手法。如：只允许手工低频测试，不允许手工高频发包、或使用自动化工具/插件测试，避免因过度测试导致业务告警、服务中断等问题。

2、禁止进行内网渗透测试行为和任何有害化的测试行为，包括但不限于：获取内网权限后在内网使用扫描器、或横向接触非对外开放系统目标、获取内网应用/主机权限/数据、上传 webshell、反弹 shell等。

3、禁止下载、保存、传播业务数据，包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料、登录凭证等，若存在不知情的下载行为，需及时说明和删除；测试过程中获取的相关代码/数据，务必在SRC漏洞确认后立即删除，不得非法留存及使用（无论数据是否脱敏）。

4、禁止任何类型的网络拒绝服务（DoS 或DDoS）测试，或通过软件、工具自动扫描产生大量数据流量的行为。

5、禁止进行近源攻击或者黑客物理入侵、社会工程学测试或邮件钓鱼等非技术漏洞测试，尤其是禁止使用社工库等非法手段获取用户密码。

6、禁止使用任何违反平台规定或法律法规的文字、图片、视频作为测试素材。

7、禁止以证明漏洞危害为借口，对目标系统进行破坏性操作，如删改数据/配置、植入恶意程序等。

8、禁止用户打扰类测试。包括但不限于向真实用户邮箱、手机、社媒账号等渠道发送测试信息、发起群聊、推送push等干扰信息；或通过电话、即时通讯工具等方式直接联系真实用户进行测试。

9、禁止对未授权厂商/业务、超出测试范围列表进行漏洞挖掘，可与管理员联系确认是否属于资产范围后进行挖掘，否则未授权的法律风险将由漏洞挖掘者自己承担。

10、请将所有测试操作和行为及时、如实、完整上报，因故意瞒报、漏报等造成业务损害或潜在风险，ByteSRC保留追责权利。

违规处罚措施

测试过程中若存在以下行为，相关漏洞将予以扣分处罚：1、遍历敏感数据超过 100 条（含 SQL 注入获取数据）

2、保存、二次利用、外发测试过程中获取的敏感数据

3、影响正常业务运行或引发大量客诉（包括越权修改数据、违规使用扫描器等） 4、未经授权，对外发布漏洞信息（无论报告是否审核通过）

5、上传恶意文件 / 木马、进行内网扫描等影响平台基础服务的行为

6、其他违反测试规则的行为

互动有礼

分享本文至朋友圈/白帽社群

扫码抽奖

选 5 位小伙伴送出文创礼品

·

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：字节跳动安全中心 《ByteSRC入侵类漏洞限时享高系数奖励，高危额外再奖2w元！新人&伯乐礼同步上线！》