双11安全保卫战|淘天电商反爬专项众测活动
2024-9-12 15:43:44 Author: mp.weixin.qq.com(查看原文) 阅读量:38 收藏

双十一安全保卫战首发活动

淘天电商反爬专项众测活动来啦

活动期间所有有效报告均计入

双十一安全保卫战军衔奖励

速来先知平台报名参与~

👇点击阅读原文或把下方地址复制到浏览器

https://yundun.console.aliyun.com/?p=xznew#/taskmanagement/tasks/detail/177

活动时间

报名时间:2024.9.12 - 2024.9.30
比赛时间:2024.9.13 - 2024.9.30

限额人数

不限制

测试要求与奖金标准

爬虫手法与范围

可使用常见爬虫手法,如hook真机、模拟器、浏览器自动化、纯脚本等。
测试范围仅限淘宝+天猫的 PCWEB、H5 页面、APP,禁止超范围测试。
测试商品范围:淘宝天猫的服饰、快消、3C数码、大家电、美妆、家具建材等类目,排除阿里拍卖、天猫汽车、天猫优品、天猫校园、天猫优享、天猫好房、淘鲜达、小时达等。

总奖金预算

本次活动设立最高奖金池50万元,按有效完整报告的提交时间顺序奖励,超出后的报告仅提供积分奖励,不再提供现金奖励。

风险等级以及奖金矩阵

重点关注

本次活动重点关注3个场景:
1、未登录状态下获取商品优惠价格或精确销量
2、登录态下批量获取淘宝+天猫商品的真实价格(含优惠信息)或精确销量
3、登录态下批量获取百亿补贴商品的真实价格或精确销量

定级标准

本次活动的定级等级和要求:(不参与王牌A活动,包括但不限于高危严重漏洞加成奖励、保级升级奖励等)

说明

1、精确销量说明:
销量>100且能获取到精确的销量数值,属于安全问题,在本次风险收录范围内。如下图“已售4000+”为模糊销量。
2、券后价说明:
参考商品:测试-测试请不要拍-tmall.com天猫
通过接口直接获取“198436”,或通过优惠券抵扣得到券后价
3、百亿补贴
百亿补贴PC入口、APP入口

测试要求

测试账号报备

为了避免争议和方便审核,活动报名后测试前,请报备您将在测试中使用的淘宝账号,使用未报备的账号进行爬虫行为,可能会被视为恶意攻击行为。
1、测试前注册并实名认证“先知平台”:https://xianzhi-next.aliyun.com/  
2、测试前通过此表单报备测试淘宝账号,便于测试结束后解封策略(注:测试周期内不予以解除风控):表单地址:https://survey.taobao.com/apps/zhiliao/r8yBG0esX
3、若在测试过程中需要用到新的淘宝账号,请务必先再次填写此表单,再进行测试!未提前报备的账号无法解封
4、为方便及时获取众测活动相关信息,请提供您的钉钉号以便加群。

测试中规则要求

在进行数据获取与安全测试时,必须遵循法律法规要求,尊重社会公德,遵守商业道德,确保所有测试活动正当、合法。以下为关键行为准则概要:
  1. 正当获取数据原则:严禁采用非法手段,包括钓鱼、社会工程学或未经授权使用第三方数据API、中间人攻击等,来收集数据。测试账号必须来源清晰,任何未经许可的账号使用均视为违规。
  2. 网络行为规范:严格禁止执行任何可能干扰网络服务正常运行的行为,如发起DoS/DDoS攻击、内网渗透及内网数据爬取等,确保网络环境的安全稳定。
  3. 数据保护与处理:测试中获取的数据应严格保密,仅限于漏洞验证目的,并在验证完成后立即删除,禁止在公开渠道发布,禁止向任何第三方披露或用于任何商业用途。特别强调,不得触及消费者个人信息、订单详情等敏感数据,一旦发现越权访问,需即刻报告并清除相关数据。
  4. 测试操作的界限:测试活动需确保不对淘宝、天猫正常业务运营造成负面影响,且不得利用漏洞损害用户权益或窃取数据。测试账号遭遇风控措施属于正常流程,将在测试周期结束后复审处理。
  5. 法律责任与道德标准:明确反对并禁止利用非技术手段如物理接触、社会工程学进行所谓“测试”,任何此类行为将视为严重违规,公司保有追究法律责任的权利。
  6. 遵循官方指导原则:所有测试活动应全面遵守《先知漏洞测试红线》等相关规范,确保测试活动的专业性与合法性。
  7. 保密原则:测试活动过程中保管、接触的有关淘宝、天猫相关数据及漏洞信息,不论在测试期间或是测试终止,都属于淘宝、天猫的商业秘密。非经淘宝、天猫授权,不得直接或间接地使用、发表、泄露或公开。   

报告提交

  • 报告提交地址:请从此活动页面提交
  • 提交报告内容:需按照如下格式提交,用于内部验证爬取有效性包括但不限于
    • 接口地址
    • 测试账号、爬取时间、爬取接口、入参、出参、爬取手法;
    • 要求录制爬取过程中的一段屏幕视频,视频需包含日期、账号、爬取执行过程、视频中录制的数量不低于 100 条。
    • 全量爬取的明细数据,包含必须数据:商品id、skuid、价格、销量、优惠信息;文件请以Excel的形式通过钉钉发送给观行(钉钉号:zuc_b8ora37zb),请勿使用其他平台存储和分享。
报告必须包含上述要求中的所有内容,未能完整提供上述信息的报告视为不完整报告,可能会被驳回或要求补充,报告审核时将以最终收到完整信息报告的时间作为有效提交时间,可能会影响您报告的审核时效、重复报告的先后判定等。

其他说明

  • 同一个商品itemid,需覆盖所有skuid(通过搜索结果拿到item下首个sku无效
  • 禁止手工打码、手工浏览记录商品
  • 同一接口或同一方法先到先得
  • 内部已知手法不收取
  • 不可通过三方数据公司获取数据

文章来源: https://mp.weixin.qq.com/s?__biz=MzIxMjEwNTc4NA==&mid=2652995414&idx=1&sn=55dd9f5cbfced33f497328eb8e52dd88&chksm=8c9ef001bbe9791728a146b864b83d3addd1fab0ec522de78979875f6bc9ddfc3e12efdb17ac&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh