活动｜BKSRC专项测试～～

一、漏洞

1、范围（以下条件均需满足）

1） 域名范围：*.home.ke.com、kfs.fang.ke.com、signingcenter.ke.com、*.jiaoyi.ke.com、d.ke.com、*.link.lianjia.com中贝壳找房直接发布的产品及服务。

2） 漏洞类型：可直接获取个人/公司敏感信息泄露的未授权访问、越权、遍历、碰撞漏洞

3） 敏感信息范围：

① 姓名/手机号/身份证号/物业地址/银行卡号之间的组合

② 城市非公开的成交信息（如成交合同、非公开城市成交价、佣金等）

③ 在售房源未公开的物业地址信息（精确到门牌号）

④ 集团员工姓名+手机号+组织架构信息（可批量获取）

⑤ 公司财税数据（如薪资报表、税务申报/缴纳数据）

⑥ 其他由贝壳src审核小组判定符合收取标准的信息

2、奖励标准

1）符合敏感信息范围中①—⑤且可批量获取50条以上获取敏感信息（注：测试规范白帽只可验证10条，批量情况由贝壳审核验证），将获得1.5倍积分奖励

2） 其余场景将获得1.2倍积分奖励

二、情报

1、范围（以下两类情报二选一）

①能爬取非外网公开敏感数据的爬虫软件，白帽需要提供软件下载包，包含软件截图及泄露的详细信息截图，由贝壳审核进行审核验证通过后发放相关奖励

②能号称获取贝壳的房源精准信息、客户敏感信息的第三方软件，包含软件截图及泄露的详细信息截图，由贝壳审核进行审核验证通过后发放相关奖励

2、奖励标准：

高风险奖励400积分、低风险奖励100积分，活动1.5倍积分奖励

注意事项

1、禁止使用扫描器、压力测试等高并发程序扫描、攻击测试对象

2、测试完毕后，如有对账号的修改操作，请务必恢复，如：删除自己添加的测试数据等

3、测试命令执行、数据库注入、webshell上传、供应链攻击等可直接威胁集团内网及数据库安全的漏洞或情报，发现问题后需周知贝壳SRC，经授权后才能进行横向移动，未经授权禁止植入后门或者对内网其他主机进行测试；

4、恶意拖取数据、下载源码等越界行为，漏洞均0分处理，且贝壳找房有权利报案、举报、并配合刑事侦查机关提供相应证据；

5、参与测试的同学，需要遵守保密协定，勿将页面截图、功能模块详情等外传泄露；

6、测试SQL注入类漏洞时，应采取手工注入，且获取的数据量不能超过10组；

7、测试命令执行漏洞时，证明漏洞即可，禁止植入文件或者对内网其他主机进行扫描测试；

8、获取网站的权限时，禁止修改代码文件或植入后门等操作；

9、在漏洞测试过程中，须遵守BKSRC白帽测试规范，详情参见：https://security.ke.com/notices/details?id=15。