活动时间

即日起~7月25日

测试简介

测试域名：

b41K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6I4j5i4m8A6i4K6u0W2K9s2g2G2L8r3q4D9j5g2)9J5k6h3y4F1i4K6u0r3

279K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6#2j5i4m8A6i4K6u0W2K9s2g2G2L8r3q4D9j5g2)9J5k6h3y4F1i4K6u0r3

测试范围：仅限货拉拉用户端的小程序、APP，仅限拉货场景（排除跑腿），禁止超范围测试

爬虫手法：可使用常见爬虫手法，如hook真机、模拟器、浏览器自动化、纯脚本等

总奖金池

20万元

（按提交有效完整报告的时间顺序发放奖励）

风险等级以及奖金矩阵

测试场景

本次活动重点关注2个场景：

1. 未登录状态下获取不同路线各车型的价格

2. 登录态下批量获取不同线路各车型的真实价格

定级标准

本次活动的定级等级和要求如下：

如纯脚本执行，漏洞等级在严重以下的提高一级。

测试路线

请白帽子使用提供的样本数据进行测试，报名活动后，可在测试群里联系运营获取

 报名链接：28aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4K9W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7K6u0Q4x3V1j5I4y4e0j5@1x3o6j5%4x3g2)9J5c8U0t1I4x3o6c8Q4x3V1j5`.

测试要求

报备测试账号

白帽子漏洞测试前需完成报备，并遵守活动相关规则进行测试，方可享受活动奖励。

为了避免争议和方便审核，请在下方报名链接中报备您将在测试中使用的用户账号，使用未报备的账号进行爬虫行为，可能会被视为恶意攻击行为。报备账号如果被封，活动完成之后会统一解封。

 报名链接：a6aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4K9W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7K6u0Q4x3V1j5I4y4e0j5@1x3o6j5%4x3g2)9J5c8U0t1I4x3o6c8Q4x3V1j5`.

遵守测试规则

在进行数据获取与安全测试时，必须遵循法律法规要求，不能影响到公司的正常业务运营。以下为关键行为准则概要：

1. 正当获取数据原则：严禁采用非法手段，包括钓鱼、社会工程学或未经授权使用第三方数据API、中间人攻击等，来收集数据。测试账号必须报备，任何未经许可的账号使用均视为违规。

2. 网络行为规范：严格禁止执行任何可能干扰网络服务正常运行的行为，如发起DoS/DDoS攻击、内网渗透及内网数据爬取等，确保网络环境的安全稳定。

3. 数据保护与处理：测试中获取的数据应严格保密，仅限于漏洞验证目的，并在验证完成后立即删除，禁止在公开渠道发布，禁止向任何第三方披露或用于任何商业用途。特别强调，不得触及消费者个人信息、订单详情等敏感数据，一旦发现越权访问，需即刻报告并清除相关数据。

4. 测试操作的界限：测试活动不允许正式下单，需确保不对正常业务运营造成负面影响，跑腿车型不纳入测试范围，且不得利用漏洞损害用户权益或窃取数据。测试账号遭遇风控措施属于正常流程，将在测试周期结束后复审处理。

5. 法律责任与道德标准：明确反对并禁止利用非技术手段如物理接触、社会工程学进行所谓“测试”，任何此类行为将视为严重违规，公司保有追究法律责任的权利。

6. 保密原则：测试活动过程中保管、接触的有关货拉拉相关数据及漏洞信息，不论在测试期间或是测试终止，都属于货拉拉的商业秘密。非经货拉拉授权，不得直接或间接地使用、发表、泄露或公开。

漏洞报告提交说明

提洞地址

f57K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6D9L8s2y4J5j5#2)9J5k6h3S2#2L8$3I4S2L8r3q4Q4x3X3g2U0L8W2)9J5c8W2)9J5x3#2)9J5c8X3q4V1k6s2k6#2L8l9`.`.

报告要求

1. 报告名称：请以“反爬虫众测”开头，提交官网漏洞类型请选择：移动客户端漏洞>其他

2. 报告内容：需按照如下格式，用于内部验证爬取有效性包括但不限于

• 接口地址、测试账号、爬取时间、爬取接口、入参、出参、爬取手法;

• 要求录制爬取过程中的一段屏幕视频,视频需包含日期、账号、爬取执行过程、视频中录制的数量不低于100条；

• 全量爬取的明细数据，包含必须数据：用户ID，路线（起终点信息)，车型，价格; 数据文件请按照“白帽子活动报告数据提交模版”（f5eK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1L8$3y4K6i4K6u0W2M7i4q4Q4x3X3g2U0L8$3#2Q4x3V1k6K6K9r3g2W2N6q4)9J5c8V1c8g2g2f1A6h3k6q4g2d9j5g2k6F1d9W2N6f1x3h3S2f1i4@1g2r3i4@1u0o6i4K6R3&6i4@1f1$3i4K6V1#2i4@1t1@1i4@1f1%4i4K6V1H3i4K6R3$3i4@1f1#2i4K6V1H3i4K6S2q4i4@1f1&6i4K6R3H3i4K6W2m8i4@1f1^5i4@1u0r3i4K6R3%4i4@1f1&6i4K6V1&6i4K6R3@1i4@1f1@1i4@1u0n7i4@1t1$3i4@1f1$3i4K6S2r3i4K6V1H3i4@1f1@1i4@1u0m8i4@1p5@1i4@1f1K6i4K6R3H3i4K6R3J5

注意：报告必须包含上述要求中的所有内容，未能完整提供上述信息的报告视为不完整报告，可能会被驳回或要求补充，报告审核时将以最终收到完整信息报告的时间作为有效提交时间，可能会影响您报告的审核时效、重复报告的先后判定等。

其他说明：

1. 禁止手工打码、手工浏览记录价格

2. 同一接口或同一方法先到先得

3. 内部已知手法不收取

4. 不可通过三方数据公司获取数据

5. 本次反爬专测活动为独立活动，不与LLSRC其他同期/后续活动产生权益关联，不参与任何形式的福利叠加，如翻倍、加码活动，季度奖励等

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课