PART

01

活动时间

2024.4.12 上午10点 - 2024.4.26 上午10点

PART

02

活动范围

Lazada所有业务

具体可参见https://asrctenant.security.alibaba.com/#/tenant/13 

PART

03

活动奖励

Lazada业务范围内高危严重级别双倍

Lazada不参与王牌A奖励

PART

04

测试须知

1、由于Lazada账号正常国内用户无法注册，本次活动特提供少量买家账号，不提供卖家账号。账号可能同时会有多名白帽子使用，请勿影响他人测试，严禁修改测试账号密码！账号密码请在报名通过后在活动细则处查看。

2、Lazada有多个国家站点，不同国家站的同一漏洞只算1个；

3、参与活动，需要先在活动页面报名，所有报告需在活动页提交；

4、严禁影响正常买家、卖家的使用；

5、严格限制在测试越权、信息泄露、账号爆破等相关漏洞时的请求和返回数据量，避免数据跨境风险！

6、严禁在测试过程中发布、讨论对不同国家风俗习惯、宗教信仰有影响的内容，避免国际舆情风险！

PART

05

测试要求

1. 测试越权等问题时，请严格限制在测试账号范围内测试，避免影响正常用户；

2. 可能影响其他真实用户的Payload请在测试验证漏洞存在后及时删除；

3. 若以上要求确实无法避免的，请及时联系ASRC运营人员，获得同意后再测试，涉及到真实账号、用户信息遍历等问题，请严格限制读取条数。

4. 不能破坏线上服务的稳定运行，禁止测试任何蠕虫类、拒绝服务类(服务端)漏洞、可能导致拒绝服务的漏洞；客户端拒绝服务漏洞严格控制影响范围；

PART

06

注意事项

1、本次众测请勿使用任何形式的自动化测试工具、脚本进行测试、暴力破解、Fuzzing等。

2、遵守SRC测试规范，对于可深入利用的漏洞需要联系运营人员确认后才能继续，如后台弱口令登录后的功能查看、信息查看、漏洞深挖等。

3、漏洞确认以接口为准。譬如网站和app都存在任意密码重置漏洞，但是接口完全一致，算一个漏洞，请知晓。

4、通过弱口令、爆破等方式进入管理后台后发现的注入、越权等漏洞会做打包或者降级处理。

5、本次只有第一个提交的漏洞会被确认(漏洞描述不清的直接忽略) ，其余按照重复忽略。

6、SQL注入要求至少到注出数据库名称，不达标按驳回处理；

7、如果业务全站都未做过滤，存在十几个或者几十个注入等漏洞，ASRC会做一定的特殊处理，仅确认前三个，不提倡刷洞。

8、同一功能模块下多个注入点或者多个XSS、CSRF、越权等算一个漏洞。

9、测试过程中发现问题，请联系观行处理。

10、请按照漏洞标准正确勾选等级，勿随意勾选严重漏洞等级。

11、本次活动只接收符合以上标准的漏洞。

12、禁止使用大型自动化扫描工具，避免对用户的生产系统造成意外破坏，尽量手测；请勿进行可能影响服务稳定的测试，如DoS等。

13、禁止利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的，同时阿里巴巴集团保留采取进一步法律行动的权利。

公众号｜阿里安全响应中心

Twitter｜AsrcSecurity

和阿里巴巴一起，为数亿用户的安全保驾护航