自2017年，360SRC开始举办48小时黑客马拉松漏洞挖掘大赛.我们曾走过温润如玉的福州，也去过热情似火的成都，还在ISC进行了马拉松的特别活动，至今已圆满完成四届！在这个过程中，我们见证了很多少年黑客的成长。今年，我们将在十二朝古都西安再次集结白帽黑客，亮剑长安！

 往期精彩回顾：https://security.360.cn/News/news/id/185.html

一、  比赛地点

陕西·西安

二、  比赛时间

2019年11月29日-12月1日

三、  活动形式

参赛者需要48小时连续不中断地对特定IoT产品进行漏洞挖掘，奖励金额在日常奖励的基础上提高1,000-50,000不等，最高单个漏洞可达36万元。在48小时内，主办方将提供食品饮料、酒店标间、破解设备。比赛结束后，根据漏洞挖掘数量和质量进行额外奖励。

四、  奖励规则

1.基础奖励：奖励评估依据https://security.360.cn/Reward/reward 

2.额外奖励：积分排名前三且符合奖励规则的战队可获得排名奖励。

1）积分奖励：比赛以漏洞数量和类型计分并排名，web端、移动端有效漏洞发放基础奖励；IoT端有效漏洞发放额外现金奖励。（组合型漏洞奖励标准遵从IoT漏洞）：

2）排名奖励：排名靠前且符合奖励规则的战队可获得奖励。

a.前三名战队将受邀参加2020年ISC大会及“靠谱黑客”音乐节暨2019-2020年度360SRC颁奖典礼

b.其他奖励：

五、比赛题目

六、比赛战报

各位亲爱的白帽同学，经过48小时的激烈角逐以及为期一周的漏洞评审，本次360SRC 48小时黑客马拉松-IoT破解大奖赛终于在西安落下了帷幕。我们特将比赛战报公布如下：

七、答疑

在公布比赛结果 后，我们也要在这里针对大家关注的几个问题作出解答。

我们的漏洞响应流程如下：

收到报告—审核测试复现—同步给业务同事测试复现—确认是否有效以及影响范围—确认漏洞奖励—与提交者沟通结果—如有补充信息则重复以上流程—赛后漏洞汇总复审—评审结束。

固件端漏洞评审相较于web端、移动端的漏洞评审则会花费更长的时间，这一点在漏洞挖掘的难度上也同样有所体现，感谢大家的耐心，久等啦~

西安站的前三名奖励远高于往届赛事，对于领奖条件也有更高的要求。由于本次比赛中没有中危以上漏洞出现，因此并无战队满足前三名奖励条件。

不过本次比赛依旧精彩纷呈，感谢各位努力又优秀的战队选手！

在这里要首先和漏洞被降级的战队道一声抱歉，我们在复查的过程中发现该漏洞不符合中危漏洞危害，为了比赛的公平性，最终决定以公开的漏洞评审标准为依据，将漏洞作降级处理。但由于沟通的不及时，我们未能和同学们尽早同步这一个问题，让大家产生失望和误解，十分抱歉，同时也感谢你们后来的谅解与包涵。

比赛结束了，感谢各位选手的支持与鼓励，也感谢各位白帽的“吐槽”与建议，单个漏洞最高奖励36万人民币的标准依然有效，欢迎大家发现漏洞后前来提交。

*在法律许可范围内，360安全应急响应中心对本次活动拥有解释权与修改权。

360安全应急响应中心的奖励方案详情：

http://security.360.cn/News/news/id/22.html

360安全应急响应中心

微博：@360安全应急响应中心   

微信：360安全应急响应中心