活动时间
即日起~11月15日
测试范围
【测试域名】
https://qapi.huolala.cn
https://uapi.huolala.cn
测试范围:仅限货拉拉用户端的小程序、APP,仅限拉货场景(排除跑腿),禁止超范围测试。
爬虫手法:可使用常见爬虫手法,如hook真机、模拟器、浏览器自动化、纯脚本等。
总奖金池
20万元
(按提交有效完整报告的时间顺序发放奖励)
风险等级及奖金矩阵
【测试场景】
本次活动重点关注2个场景:
1. 未登录状态下获取不同路线各车型的价格
2. 登录态下批量获取不同线路各车型的真实价格
【定级标准】
本次活动的定级等级和要求如下:
线路的定义:不同的线路起终点需要有变更,起点终点相互差异要超过600米,同一条线路变更车型仍为同一条线路。
例如:下图中的线路B等效于线路A,因为起终点的距离未超过600米; 线路C和线路D相比线路A则算是一条新的线路。
测试要求
【测试账号报备】
本次测试活动为邀请制,受邀请的同学测试前需完成报备,并遵守活动相关规则进行测试,方可享受活动奖励。为了避免争议和方便审核,请您在活动测试前,请报备您将在测试中使用的用户账号,使用未报备的账号进行爬虫行为,可能会被视为恶意攻击行为。报备账号如果被封,活动完成之后会统一解封。
报备链接:https://wj.qq.com/s2/15640671/2104/
【测试规则】
在进行数据获取与安全测试时,必须遵循法律法规要求,不能影响到公司的正常业务运营。以下为关键行为准则概要:
1. 正当获取数据原则:严禁采用非法手段,包括钓鱼、社会工程学或未经授权使用第三方数据API、中间人攻击等,来收集数据。测试账号必须报备,任何未经许可的账号使用均视为违规。
2. 网络行为规范:严格禁止执行任何可能干扰网络服务正常运行的行为,如发起DoS/DDoS攻击、内网渗透及内网数据爬取等,确保网络环境的安全稳定。
3. 数据保护与处理:测试中获取的数据应严格保密,仅限于漏洞验证目的,并在验证完成后立即删除,禁止在公开渠道发布,禁止向任何第三方披露或用于任何商业用途。特别强调,不得触及消费者个人信息、订单详情等敏感数据,一旦发现越权访问,需即刻报告并清除相关数据。
4. 测试操作的界限:测试活动不允许正式下单,需确保不对正常业务运营造成负面影响,跑腿车型不纳入测试范围,且不得利用漏洞损害用户权益或窃取数据。测试账号遭遇风控措施属于正常流程,将在测试周期结束后复审处理。
5. 法律责任与道德标准:明确反对并禁止利用非技术手段如物理接触、社会工程学进行所谓“测试”,任何此类行为将视为严重违规,公司保有追究法律责任的权利。
6. 保密原则:测试活动过程中保管、接触的有关货拉拉相关数据及漏洞信息,不论在测试期间或是测试终止,都属于货拉拉的商业秘密。非经货拉拉授权,不得直接或间接地使用、发表、泄露或公开。
漏洞报告提交说明
【报告提交地址】
1. 请从此LLSRC官网提交:https://llsrc.huolala.cn/#/addvul
2. 报告名称请以“反爬虫众测”开头,提交官网漏洞类型请选择:移动客户端漏洞>其他。
【提交报告内容】
需按照如下格式提交,用于内部验证爬取有效性包括但不限于:
-
接口地址、测试账号、爬取时间、爬取接口、入参、出参、爬取手法;
-
要求录制爬取过程中的一段屏幕视频,视频需包含日期、账号、爬取执行过程、视频中录制的数量不低于100条;
-
全量爬取的明细数据,包含必须数据:用户ID,路线(起终点信息),车型,价格; 数据文件请按照白帽子活动报告数据提交模版(https://docs.qq.com/sheet/DUUJVdURaVnJWT1hT)整理后通过附件提交。
注:
报告必须包含上述要求中的所有内容,未能完整提供上述信息的报告视为不完整报告,可能会被驳回或要求补充,报告审核时将以最终收到完整信息报告的时间作为有效提交时间,可能会影响您报告的审核时效、重复报告的先后判定等。
补充说明
-
禁止手工打码、手工浏览记录价格
-
同一接口或同一方法先到先得
-
内部已知手法不收取
-
不可通过三方数据公司获取数据
原文始发于微信公众号(货拉拉安全应急响应中心):货拉拉SRC反爬虫专项测试活动