WhiteHat 内测积分规则(2026年4月7日起试行)
一、漏洞积分规则(针对 WhiteHat 平台自身)
每个被确认的有效漏洞,根据危害等级授予基础积分。同一漏洞仅奖励首位提交者。
| 漏洞等级 | 基础积分 | 典型场景举例 |
|---|---|---|
| 严重 | 20,000 | 可直接获取平台核心系统权限、导致大量用户数据泄露、控制服务器 |
| 高危 | 8,000 | 绕过身份验证、获取敏感配置信息、导致平台服务不可用 |
| 中危 | 2,000 | 越权查看非敏感用户信息、存储型XSS、CSRF可执行敏感操作 |
| 低危 | 500 | 反射型XSS(无实际危害)、路径信息泄露、非敏感配置缺陷 |
质量加成:提交的漏洞报告清晰、附带完整复现步骤、提出合理修复建议,可额外获得 10%~20% 积分奖励。
无效漏洞:重复提交、已知漏洞、无法复现、超出测试范围的漏洞不计分。
违规处理:恶意刷分、使用扫描器暴力测试、测试影响其他用户等行为将取消积分并封禁账号。
二、研究员成长积分规则(内测通用行为)
以下行为面向所有内测注册用户,用于提升活跃度和社区贡献。
1. 每日签到
| 签到类型 | 获得积分 | 备注 |
|---|---|---|
| 每日签到 | 10 | 每天限1次 |
| 连续签到7天(额外) | 50 | 第7天签到后自动发放 |
| 连续签到30天(额外) | 200 | 第30天签到后自动发放 |
| 连续签到100天(额外) | 700 | 第100天签到后自动发放 |
中断后重新从第1天计算;额外奖励仅发放一次(达到对应天数时)。
2. 推荐新研究员(邀请奖励)
| 场景 | 推荐人(邀请者) | 被推荐人(新用户) |
|---|---|---|
| 被推荐人完成注册并通过身份验证 | +100 | +50 |
限制:被推荐人须通过平台/研究者资质验证;严禁自我推荐或虚假账号。
3. 社区贡献(暂行,暂未上线)
| 行为 | 积分 | 频率 |
|---|---|---|
| 参与平台规则问卷调查 | 50 | 每月1次 |
| 提交的平台改进建议被采纳 | 500 | 不限 |
| (待上线)在社区分享高质量技术文章被加精 | 300 | 每月2次 |
三、积分兑换与长期可持续说明
-
积分商城:可使用积分兑换硬件工具(如 USB Ninja)、书籍、定制周边等。
-
积分有效期:内测阶段获取的积分,有效期为自获取之日起 2 年。逾期未用积分清零。此规则可控制长期负债。
-
防滥用机制:
- 系统自动检测异常签到(如短时间内多次签到)、虚假推荐、重复提交低价值漏洞。
- 同一 IP / 设备关联多个账号视为作弊,所有关联账号积分清零并封禁。
-
动态调整:内测期间每周收集一次数据(积分发放量、兑换率、用户活跃度),平台保留微调积分规则的权利,调整前会提前公告。
四、内测积分与正式上线后的关系
- 内测期间获得的积分在平台正式上线后依然有效,可继续累积并在正式商城兑换商品。
- 内测期间的漏洞提交记录将作为研究员信誉等级评定的重要依据。
以上规则自 2026年4月7日10:00(内测开启) 起生效。如有疑问,可通过官网联系表单或邮件咨询:[email protected]