-
-
货拉拉SRC反爬虫专项测试活动
-
发表于: 2024-10-29 17:25
-
活动时间:即日起~11月15日
测试范围:
【测试域名】
ab5K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6I4j5i4m8A6i4K6u0W2K9s2g2G2L8r3q4D9j5g2)9J5k6h3y4F1
1dfK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6#2j5i4m8A6i4K6u0W2K9s2g2G2L8r3q4D9j5g2)9J5k6h3y4F1
测试范围:仅限货拉拉用户端的小程序、APP,仅限拉货场景(排除跑腿),禁止超范围测试。
爬虫手法:可使用常见爬虫手法,如hook真机、模拟器、浏览器自动化、纯脚本等。
总奖金池
20万元
(按提交有效完整报告的时间顺序发放奖励)
风险等级及奖金矩阵
【测试场景】
本次活动重点关注2个场景:
1. 未登录状态下获取不同路线各车型的价格
2. 登录态下批量获取不同线路各车型的真实价格
【定级标准】
本次活动的定级等级和要求如下:
线路的定义:不同的线路起终点需要有变更,起点终点相互差异要超过600米,同一条线路变更车型仍为同一条线路。
例如:下图中的线路B等效于线路A,因为起终点的距离未超过600米; 线路C和线路D相比线路A则算是一条新的线路。
测试要求
【测试账号报备】
本次测试活动为邀请制,受邀请的同学测试前需完成报备,并遵守活动相关规则进行测试,方可享受活动奖励。为了避免争议和方便审核,请您在活动测试前,请报备您将在测试中使用的用户账号,使用未报备的账号进行爬虫行为,可能会被视为恶意攻击行为。报备账号如果被封,活动完成之后会统一解封。
报备链接:
b1dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4K9W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7K6u0Q4x3V1j5I4y4e0j5@1x3o6j5%4x3g2)9J5c8U0t1I4x3o6c8Q4x3V1j5`.
【测试规则】
在进行数据获取与安全测试时,必须遵循法律法规要求,不能影响到公司的正常业务运营。以下为关键行为准则概要:
1. 正当获取数据原则:严禁采用非法手段,包括钓鱼、社会工程学或未经授权使用第三方数据API、中间人攻击等,来收集数据。测试账号必须报备,任何未经许可的账号使用均视为违规。
2. 网络行为规范:严格禁止执行任何可能干扰网络服务正常运行的行为,如发起DoS/DDoS攻击、内网渗透及内网数据爬取等,确保网络环境的安全稳定。
3. 数据保护与处理:测试中获取的数据应严格保密,仅限于漏洞验证目的,并在验证完成后立即删除,禁止在公开渠道发布,禁止向任何第三方披露或用于任何商业用途。特别强调,不得触及消费者个人信息、订单详情等敏感数据,一旦发现越权访问,需即刻报告并清除相关数据。
4. 测试操作的界限:测试活动不允许正式下单,需确保不对正常业务运营造成负面影响,跑腿车型不纳入测试范围,且不得利用漏洞损害用户权益或窃取数据。测试账号遭遇风控措施属于正常流程,将在测试周期结束后复审处理。
5. 法律责任与道德标准:明确反对并禁止利用非技术手段如物理接触、社会工程学进行所谓“测试”,任何此类行为将视为严重违规,公司保有追究法律责任的权利。
6. 保密原则:测试活动过程中保管、接触的有关货拉拉相关数据及漏洞信息,不论在测试期间或是测试终止,都属于货拉拉的商业秘密。非经货拉拉授权,不得直接或间接地使用、发表、泄露或公开。
漏洞报告提交说明
【报告提交地址】
1.请从此LLSRC官网提交:062K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6D9L8s2y4J5j5#2)9J5k6h3S2#2L8$3I4S2L8r3q4Q4x3X3g2U0L8W2)9J5c8W2)9J5x3#2)9J5c8X3q4V1k6s2k6#2L8l9`.`.
2.报告名称请以“反爬虫众测”开头,提交官网漏洞类型请选择:移动客户端漏洞>其他。
【提交报告内容】
需按照如下格式提交,用于内部验证爬取有效性包括但不限于:
接口地址、测试账号、爬取时间、爬取接口、入参、出参、爬取手法;
要求录制爬取过程中的一段屏幕视频,视频需包含日期、账号、爬取执行过程、视频中录制的数量不低于100条;
全量爬取的明细数据,包含必须数据:用户ID,路线(起终点信息),车型,价格; 数据文件请按照白帽子活动报告数据提交模版(60cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1L8$3y4K6i4K6u0W2M7i4q4Q4x3X3g2U0L8$3#2Q4x3V1k6K6K9r3g2W2N6q4)9J5c8V1c8g2g2f1A6h3k6q4g2d9j5g2k6F1d9W2N6f1x3h3S2f1i4@1g2r3i4@1u0o6i4K6R3&6整理后通过附件提交。
注:
报告必须包含上述要求中的所有内容,未能完整提供上述信息的报告视为不完整报告,可能会被驳回或要求补充,报告审核时将以最终收到完整信息报告的时间作为有效提交时间,可能会影响您报告的审核时效、重复报告的先后判定等。
补充说明
-禁止手工打码、手工浏览记录价格
-同一接口或同一方法先到先得
-内部已知手法不收取
-不可通过三方数据公司获取数据
