双赛道!饿了么安全漏洞众测+安全合规众测即将开启
2024-1-18 17:20:47 Author: mp.weixin.qq.com(查看原文) 阅读量:27 收藏

饿了么众测来了!

安全漏洞众测 安全合规众测

双重活动同步开启

奖金丰厚 诚意满满 速来报名

活动时间

2024.1.22 10:00-2024.2.4 10:00

温馨提示:不设置禁止时间,但不允许使用有损线上业务运行的攻击方式,例如高并发的扫描、拒绝服务等,特别是在双高峰时段:12:00-14:00、18:00-21:00

活动奖励

安全漏洞众测

严重高危漏洞双倍安全币奖励

且与王牌A叠加

活动期间第一名可获得荣誉奖牌

安全合规众测

奖励评分见报名链接

王牌A加成不兼得

活动期间第一名可获得荣誉奖牌

报名链接

安全漏洞众测为公开众测

扫描下方二维码报名参加

或复制报名链接浏览器打开

https://security.alibaba.com/online/detail?id=168

安全合规众测为私密众测

扫码下方二维码报名

或复制报名链接浏览器打开

https://security.alibaba.com/online/detail?id=167

资质审查通过后参与活动

活动范围

安全漏洞众测资产范围:

  • 饿了么:归属饿了么的各类web端、APP、小程序(主要为饿了么C端,饿了么商家版、零售商家版、商家开放平台、零售开放平台)

  • 客如云:仅限于客如云商家版 pos.keruyun.com 网站内,域名为 saas.keruyun.com 的接口的漏洞

注:归属饿了么业务但未在上表列出的,按实际业务大小确定业务级别。

安全合规众测资产范围:

私密众测,报名通过资质审核后开放

测试要求

1. 测试越权等问题时,请严格限制在测试账号范围内测试,避免影响正常用户。

2. 可能影响其他真实用户的Payload请在测试验证漏洞存在后及时删除。

3. 若以上要求确实无法避免的,请及时联系ASRC运营人员,获得同意后再测试,涉及到真实账号、用户信息遍历等问题,请严格限制读取条数。

4. 不能破坏线上服务的稳定运行,禁止测试任何蠕虫类、拒绝服务类(服务端)漏洞、可能导致拒绝服务的漏洞;客户端拒绝服务漏洞严格控制影响范围。

5.账号爆破、验证码爆破等爆破类漏洞、邮件短信轰炸类漏洞等暂不在此类活动范围。

注意事项

1.本次众测请勿使用任何形式的自动化测试工具、脚本进行测试、暴力破解、Fuzzing等。

2.遵守SRC测试规范,对于可深入利用的漏洞需要联系运营人员确认后才能继续,如后台弱口令登录后的功能查看、信息查看、漏洞深挖等。

3.漏洞确认以接口为准。譬如网站和app都存在任意密码重置漏洞,但是接口完全一致,算一个漏洞,请知晓。

4.通过弱口令、爆破等方式进入管理后台后发现的注入、越权等漏洞会做打包或者降级处理。

5.本次只有第一个提交的漏洞会被确认(漏洞描述不清的直接忽略) ,其余按照重复忽略。

6.SQL注入要求至少到注出数据库名称,不达标按驳回处理;

7.如果业务全站都未做过滤,存在十几个或者几十个注入等漏洞,ASRC会做一定的特殊处理,仅确认前三个,不提倡刷洞。

8.同一功能模块下多个注入点或者多个XSS、CSRF、越权等算一个漏洞。

9.测试过程中发现问题,请联系观行处理。

10.请按照漏洞标准正确勾选等级,勿随意勾选严重漏洞等级。

11.本次活动只接收符合以上标准的漏洞。

12.禁止使用大型自动化扫描工具,避免对用户的生产系统造成意外破坏,尽量手测;请勿进行可能影响服务稳定的测试,如DoS等。

13.禁止利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的,同时阿里巴巴集团保留采取进一步法律行动的权利。

公众号|阿里安全响应中心

Twitter|AsrcSecurity

和阿里巴巴一起,为数亿用户的安全保驾护航


文章来源: https://mp.weixin.qq.com/s?__biz=MzIxMjEwNTc4NA==&mid=2652993588&idx=1&sn=73a794f992bd064c079c6b53adf107b5&chksm=8c9ef763bbe97e75cab5c2ab6389da581a23ecf79ed8f48515faf39710ff18d14cddd1babd69&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh