为积极响应国家网络安全战略，切实提升北京市教育行业网络安全整体防护水平，北京教育行业SRC平台（以下简称“北京教育SRC”）联合中国光华科技基金会、360漏洞研究院、360漏洞云漏洞众包响应平台、北京禹宏信安科技有限公司，共同启动“北京教育SRC守卫者计划——教育系统安全守护行动”。

本计划由北京禹宏信安科技有限公司深度参与策划执行，旨在通过建立规范的漏洞收集、响应与修复闭环，鼓励并引导安全研究人员、高校学生以技术为担当，积极提交中高危安全漏洞，依托禹宏信安在网络安全领域的专业能力，为首都教育系统的数字资产安全贡献力量，筑牢教育行业网络安全防线。

⚠️活动时间：2026年3月12日至 4月15日

⚠️测试范围与参与方式：加专项活动QQ群1083350306获取（群内将由北京教育SRC相关工作人员协助解答参与疑问、同步活动动态）

⚠️奖励机制：按照活动榜单发放现金奖励。

⚠️漏洞定级标准：

本次活动仅收录【高危漏洞】和【中危漏洞】。

高危漏洞（均需有实际危害证明）：

1. 直接获取目标系统权限的漏洞，包括并不限于：远程代码执行、远程命令执行、任意文件上传等；
2. 逻辑设计缺陷导致的未授权或信息泄露，最终导致泄露数据量超过10万条数据的。若涉及到公民信息，则需要满足公民信息三要素，即至少三个维度数据；
3. 云服务或端口转发类服务的失控导致攻击者接管云服务器或数据的，例如nps未授权（无实际内网代理配置，不予收录）等；
4. 前台未授权SQL注入漏洞（弱口令后台注入认定为前台未授权SQL注入）；
5. 可导致任意文件读取漏洞，如可任意文件读取的XXE（可读取web目录以外文件证明）。

中危漏洞（均需有实际危害证明）：

1. 需要身份验证的SQL注入漏洞；
2. 管理后台弱口令漏洞（有注册功能仅收录管理员账户，无注册功能由审核判定可收录其他账户）；
3. 逻辑设计缺陷导致的未授权或信息泄露，最终导致泄露数据量在1千到10万之间的。若涉及到公民信息，则需要满足公民信息三要素，即至少三个维度数据；
4. 非通用系统的源码信息泄露；
5. 密文密码泄露且可解密明文，并证明可进一步利用的；
6. 横向越权与纵向越权漏洞（横向越权视用户量可定级高危）；
7. 有限的任意文件读取漏洞（例如仅限制web目录下）；
8. Redis，kafka等未授权或弱口令漏洞；
9. 存储桶OSS信息泄露，可获取敏感数据超过1000条；
10. 其他有一定影响的逻辑漏洞。