货拉拉SRC反爬虫专项测试活动

资讯 2周前 admin
38 0 0
货拉拉SRC反爬虫专项测试活动
货拉拉SRC反爬虫专项测试活动
货拉拉SRC反爬虫专项测试活动

活动时间

货拉拉SRC反爬虫专项测试活动

即日起~11月15日



货拉拉SRC反爬虫专项测试活动

测试范围

货拉拉SRC反爬虫专项测试活动

【测试域名】

https://qapi.huolala.cn

https://uapi.huolala.cn


测试范围:仅限货拉拉用户端的小程序、APP,仅限拉货场景(排除跑腿),禁止超范围测试。


爬虫手法:可使用常见爬虫手法,如hook真机、模拟器、浏览器自动化、纯脚本等。



货拉拉SRC反爬虫专项测试活动

总奖金池

货拉拉SRC反爬虫专项测试活动

20万元

(按提交有效完整报告的时间顺序发放奖励



货拉拉SRC反爬虫专项测试活动

风险等级及奖金矩阵

货拉拉SRC反爬虫专项测试活动

【测试场景】

本次活动重点关注2个场景:

1. 未登录状态下获取不同路线各车型的价格

2. 登录态下批量获取不同线路各车型的真实价格


【定级标准】

本次活动的定级等级和要求如下:

货拉拉SRC反爬虫专项测试活动

线路的定义:不同的线路起终点需要有变更,起点终点相互差异要超过600米,同一条线路变更车型仍为同一条线路。

例如:下图中的线路B等效于线路A,因为起终点的距离未超过600米; 线路C和线路D相比线路A则算是一条新的线路。

货拉拉SRC反爬虫专项测试活动

货拉拉SRC反爬虫专项测试活动

测试要求

货拉拉SRC反爬虫专项测试活动

【测试账号报备】

本次测试活动为邀请制,受邀请的同学测试前需完成报备,并遵守活动相关规则进行测试,方可享受活动奖励。为了避免争议和方便审核,请您在活动测试前,请报备您将在测试中使用的用户账号,使用未报备的账号进行爬虫行为,可能会被视为恶意攻击行为。报备账号如果被封,活动完成之后会统一解封。


报备链接:https://wj.qq.com/s2/15640671/2104/


【测试规则】

在进行数据获取与安全测试时,必须遵循法律法规要求,不能影响到公司的正常业务运营。以下为关键行为准则概要:

1.  正当获取数据原则:严禁采用非法手段,包括钓鱼、社会工程学或未经授权使用第三方数据API、中间人攻击等,来收集数据。测试账号必须报备,任何未经许可的账号使用均视为违规。

2.  网络行为规范:严格禁止执行任何可能干扰网络服务正常运行的行为,如发起DoS/DDoS攻击、内网渗透及内网数据爬取等,确保网络环境的安全稳定。

3.  数据保护与处理:测试中获取的数据应严格保密,仅限于漏洞验证目的,并在验证完成后立即删除,禁止在公开渠道发布,禁止向任何第三方披露或用于任何商业用途。特别强调,不得触及消费者个人信息、订单详情等敏感数据,一旦发现越权访问,需即刻报告并清除相关数据。

4.  测试操作的界限:测试活动不允许正式下单,需确保不对正常业务运营造成负面影响,跑腿车型不纳入测试范围,且不得利用漏洞损害用户权益或窃取数据。测试账号遭遇风控措施属于正常流程,将在测试周期结束后复审处理。

5.  法律责任与道德标准明确反对并禁止利用非技术手段如物理接触、社会工程学进行所谓“测试”,任何此类行为将视为严重违规,公司保有追究法律责任的权利。

6.  保密原则:测试活动过程中保管、接触的有关货拉拉相关数据及漏洞信息,不论在测试期间或是测试终止,都属于货拉拉的商业秘密。非经货拉拉授权,不得直接或间接地使用、发表、泄露或公开。



货拉拉SRC反爬虫专项测试活动

漏洞报告提交说明

货拉拉SRC反爬虫专项测试活动

【报告提交地址】

1.  请从此LLSRC官网提交:https://llsrc.huolala.cn/#/addvul

2.  报告名称请以“反爬虫众测”开头,提交官网漏洞类型请选择:移动客户端漏洞>其他。


【提交报告内容】

需按照如下格式提交,用于内部验证爬取有效性包括但不限于:

  • 接口地址、测试账号、爬取时间、爬取接口、入参、出参、爬取手法;

  • 要求录制爬取过程中的一段屏幕视频,视频需包含日期、账号、爬取执行过程、视频中录制的数量不低于100条;

  • 全量爬取的明细数据,包含必须数据:用户ID,路线(起终点信息),车型,价格; 数据文件请按照白帽子活动报告数据提交模版(https://docs.qq.com/sheet/DUUJVdURaVnJWT1hT)整理后通过附件提交

    货拉拉SRC反爬虫专项测试活动

    货拉拉SRC反爬虫专项测试活动

注:

报告必须包含上述要求中的所有内容,未能完整提供上述信息的报告视为不完整报告,可能会被驳回或要求补充,报告审核时将以最终收到完整信息报告的时间作为有效提交时间,可能会影响您报告的审核时效、重复报告的先后判定等。


货拉拉SRC反爬虫专项测试活动

补充说明

货拉拉SRC反爬虫专项测试活动


  • 禁止手工打码、手工浏览记录价格

  • 同一接口或同一方法先到先得

  • 内部已知手法不收取

  • 不可通过三方数据公司获取数据


货拉拉SRC反爬虫专项测试活动


原文始发于微信公众号(货拉拉安全应急响应中心):货拉拉SRC反爬虫专项测试活动

版权声明:admin 发表于 2024年10月24日 下午2:38。
转载请注明:货拉拉SRC反爬虫专项测试活动 | CTF导航

相关文章