腾讯视频联合TSRC专项众测正式启动！

安全刷剧，放心付费。

腾讯视频专项众测，

邀您一同守护。

在腾讯视频，每一次沉浸式的刷剧、追番、看电影，或是畅玩云游戏，都源于我们对安全的专注。安全，是让体验不打折扣的坚实底座。

为此，腾讯视频联合TSRC启动专项众测，守护您的每一次登录、追剧与支付。这是我们对您珍贵时光的郑重承诺。

福利一：

提交活动范围内的高危、严重漏洞最高获2倍安全币。

福利二：

为腾讯核心业务或重点业务提供高质量严重漏洞报告的师傅，TSRC还将授予月度即时现金奖励（1～3万元）。

福利三：

相关高危、严重漏洞，在满足漏洞范围的前提下如果同时满足特别激励条件，业务将额外奖励1000～10000元。

福利四：

提交更加清晰明确、利用思路新颖、手法独特等的特别贡献安全报告，还将额外获得高质量报告奖励（最高5000元）。

活动时间

2025.11.17 10:00- 2025.11.29 18:00

活动范围

本次众测仅针对特定业务范围、特别激励范围。需两者同时满足才可获得特别激励奖，具体如下：

1.特定业务范围：腾讯视频服务端、腾讯视频客户端

注：

1. 腾讯视频服务端范围如下：

- 腾讯视频业务端或创作端服务

- 域名：

   video.qq.com

   iwan.qq.com

   film.qq.com

   v.qq.com

   ad.reward.qq.com

2. 腾讯视频客户端范围如下：

- 腾讯视频APP，腾讯视频小程序（含微信小程序与QQ小程序），TV端（云视听）以及PC端

⚠️注意

1、客户端漏洞，要求在最新版客户端复现，操作系统/第三方通用组件/chrome内核相关的漏洞不在奖励范围。

2、非腾讯研发/运维的第三方业务不接收：如爱玩平台中游戏本身的安全漏洞、商业化中广告本身的安全漏洞等。

3、本次活动范围不包含海外业务（如wetv)。

2.特别激励范围：

【业务特别激励奖一】10000元/个，要求严重，且同时满足以下条件之一：

1、无交互越权或无限制批量（10 次以上）使用其它人的较大额的资金类资产（优惠券，礼品卡，附属卡，合作会员，钻石、激励广告、积分）。

2、可批量（10次以上）低价（小于等于正价的50%）开通HVIP、SVIP会员、联合会员、家庭会员。

3、越权观看vip视频，非会员身份可以观看VIP任意内容

4、越权获取视频原片（MP4/HLS格式）下载链接，如播放链接无安全key可下载高码源文件

5、无交互批量获取个人信息（如手机号、身份信息等，1000条以上）

【业务特别激励奖二】1000元/个，要求举报还原黑产作案手法，并有效协助腾讯视频发现和打击，且同时满足以下条件：

1、腾讯视频官方历史未发现记录的黑产新型作案手法。

2、且同时满足【业务特别激励奖一】的任意条件之一。

⚠️注意

1、涉及支付权益的场景需要在腾讯视频官方购买，包括但不限于APP，小程序，电商旗舰店等。

2、若上述业务特别激励存在同类漏洞，则按漏洞提交时间优先给予首个激励。

多重活动奖励

1、符合上述众测范围的漏洞，在TSRC现有评分规则基础上

- 腾讯视频的高危漏洞：2倍安全币

- 腾讯视频的严重漏洞：2倍安全币

（贡献值不变）

2、TSRC月度即时现金奖励

符合TSRC即时现金奖励标准的严重漏洞，根据产品情况不同授予税后 1~3 万或以上人民币的奖励。

3、业务特别奖励

相关高危、严重漏洞，在满足漏洞范围的前提下如果同时满足特别激励条件，业务将额外奖励1000～10000元。

4、TSRC高质量报告奖励

符合TSRC高质量报告奖励标准的漏洞报告，还将额外获得高质量报告奖励（最高5000元）。

参与方式

此次测试为预报备制，参与者需在报名入口提前报备，并遵守活动相关规则进行测试，才可享受活动奖励，参与者需同时遵守《漏洞提交基本原则》（详见文末）。

1、提前报备

为方便快速定位，本次众测活动中的所有漏洞测试行为需提前报备，未经提前报备的测试结果不享受活动奖励。

进入链接或扫码报备👇

https://wj.qq.com/s2/24614121/fanl/

2、TSRC官网提交

报告名称以“腾讯视频众测”开头。

漏洞提交基本原则

1、未经腾讯授权，您不得向任何第三方公开漏洞或提供任何与腾讯产品有关的安全情报。如发现相关情形，TSRC有权收回您因该漏洞获得的全部TSRC奖励及福利。

2、测试过程不得损害业务正常运行，不得以测试漏洞借口尝试利用漏洞损害用户利益，影响业务的正常运行或盗取用户数据等行为。

3、禁止内网渗透行为，包括但不限于利用 SSRF 或其他漏洞扫描内网、尝试系统提权等行为。

4、禁止进行网络拒绝服务攻击，包括但不限于 DoS、 DDos、CC 或其他明确在尝试前可知会影响服务稳定性的拒绝服务攻击。

5、禁止下载和业务相关的敏感数据，包括但不限于源代码、运营数据、用户资料等，若存在不知情的下载行为，需及时说明和删除。

6、在测试未限制发送次数的短信功能时，需填写自己的手机号，禁止对其他用户号码进行尝试。

7、禁止使用可能造成业务影响的漏洞尝试工具，包括但不限于 SQLMap 等，使用时需确认不会对业务数据造成破坏性的影响。

8、在测试过程中如包含数据获取功能时，包括但不限于 SQL 注入、用户资料的越权获取等，应尽可能的采取手动尝试，且获取的数据量不能超过 10 组，相关数据也需在报告后尽快删除。

9、测试越权尝试或其他可能影响用户数据的操作时，需尽可能将尝试控制在自己创建的多个账号生成的内容中，不得影响到线上业务中其他用户的正常数据。

10、禁止通过物理接触、社会工程学、钓鱼、水坑等不涉及 TSRC 奖励计划的非技术漏洞尝试。

11、我们反对和谴责一切以漏洞测试为借口，利用安全漏洞进行破坏，损害腾讯系统及腾讯用户的利益的攻击行为，对相关行为我们保留追究法律责任的权利。

12、漏洞测试和提交准则请参照《腾讯外部威胁情报处理流程》和遵守《SRC行业安全测试规范》。

13、沙箱环境中的代码执行/命令执行本身是预期的产品功能，如果能逃逸或影响到其他用户容器，则正常评分。（有效条件：逃逸到宿主机/物理机，获取有效敏感信息和权限，或证明通腾讯内网；可通过ssrf的方法验证通腾讯内网 ） 

补充说明

在漏洞处理过程中，如果报告者对处理流程、漏洞评定、漏洞评分等具有异议的，请通过当前漏洞报告页面中的“审核人员联系方式”及时沟通。

腾讯安全应急响应中心将根据漏洞报告者利益优先的原则进行处理，更多详情请参照“腾讯外部漏洞报告处理流程”。

附：《TSRC漏洞处理和评分标准》，详情请参考：

https://docs.qq.com/doc/DSW1Pa0h1SHJ0WWRh