活动时间:2022年12月1日 0:00 – 2022年12月15日23:59。
测试范围为以下业务(APP、WEB端不限):
58黄页场景(保洁、钟点工、家政、搬家、宠物等)
58到家充值送代金券活动
以报告的实际影响作为风险等级的评判依据,同时根据报告质量和风险类型有浮动。本次活动仅奖励金币,不奖励rank积分,不计入月度、季度、年度等活动的排名。不同等级的报告奖励基准如下:
| 等级/类型 | 情报类(元) | 漏洞类(元) |
|---|---|---|
| 严重 | 9000 | 8000 |
| 高危 | 5000 | 4000 |
| 中危 | 200 | 1000 |
情报类:
严重:利用58产品、线上业务流程等方面的缺陷从事违法犯罪活动;突破或绕过线上业务流程、逻辑等进行作弊,单次造成损失5000元以上,或反复造成损失10000元以上;其他对58平台声誉造成重大影响的行为或事件
高危:未利用58产品、线上业务流程等方面缺陷但依然使用58从事违法犯罪活动;突破或绕过线上业务流程、逻辑等进行作弊,单次造成损失2000元以上,或反复造成损失5000元以上;其他对58平台声誉造成重大影响的行为或事件
中危:经审核认定有助于提升58业务安全水平的其他情报。
漏洞类:
严重:严重影响线上业务正常流程、严重危害平台利益等,如泄漏全部客户信息或漏洞致使平台流程无法正常运作
高危:影响部分线上业务流程、对平台利益有影响等,如通过限定方式拿到部分信息或只影响部分用户
有效情报及攻击路径示例:
1. 到家充值送代金券活动
充值入口为58到家APP->我的->充值余额
同一充值订单能获取多次代金券
小于门槛金额获取代金券
其他经过审核认定的可突破活动规则、破坏活动公平性等的漏洞
2. 涉及潜在违法犯罪的严重安全情报
搬家师傅、家政阿姨等上门服务人员以暴力或诈骗等方式收取违规费用
犯罪分子冒充上门服务人员或经纪人进行诈骗、盗窃等
上门服务人员或冒充上门服务人员从事违反国家相关法律的行为
3. 上门服务人员作弊行为
保洁阿姨提前签到、在非规定位置签到或其他人代签到
保姆个人体检报告造假
其他上门服务人员存在违反业务逻辑的作弊操作
4. 其他情报
恶意刷单、好评
薅羊毛
代下单
注意事项
1. 提交名称格式为(黄页众测-情报(漏洞)名称), 如提交报告名称格式不符合,则此报告将不参与本次众测奖励。不在众测范围内的漏洞请勿添加众测标题;
2. 漏洞需严格按照【报告模版】的格式进行提交,如有利用工具或者脚本可一并上传;
3. 严禁过度测试对商家业务的正常运行造成影响的漏洞。
4. 对于来自相同来源的同类型情报将做重复处理。
报告模版
【风险信息】
风险类型:情报|漏洞
风险渠道(链接):https://58.com/xx|QQ群|微信群|贴吧|XX平台等
【风险详细】
详细说明获取过程及来源,并附上过程截图以及相关附件。
注意事项
1. 严禁使用拒绝服务类攻击;
2. 58SRC对本次活动相关规则保留最终解释权;
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...