专测时间
3月18日-4月18日
专测范围
抖音、抖音火山版、抖音极速版相关接口商品资产
主要域名:*.snssdk.com *.ecombdapi.com
有效爬取标准&奖励
-爬虫有效标准:标准真机/模拟器或者纯脚本执行
-爬取接口来自抖火极按下方当前定级,爬虫接口来自其他字节平台,则风险等级降一级(如:高危降到中危)
-除以下外,其他严重/高危/中危/低危问题,参照以下定级酌情判定
注意事项
1、提交报告标题需备注【电商反爬】,所属应用选择【安全情报-所有业务】
2、报告内容应包括但不限于以下信息:
-接口地址
-测试账号uid、请求日志、脚本代码、接口地址
-全量爬取数据
-爬虫过程视频:日期、账号、脚本执行过程、不小于100条获取数据
-sku id维度的标题+价格+销量+库存+优惠信息(必须包含)、类目+评价内容(可选)
3、同一接口或同一方法先到先得;内部已知不收取,包括但不限于通用平台如Jenkins等已在网络上公开的漏洞、内部安全人员已经发现的漏洞、已有其他白帽子优先提交的漏洞;正在专项排查中漏洞不收取,如某系统某类型漏洞内部展开统一的专项治理时暂不收取,具体情况以平台审核人员回复为准。
4、通过第三方平台(如:蝉妈妈)爬取的数据暂不收取
5、活动中如遇到账号锁定、封停等情况,测试期间不受理src测试账号解封,活动结束统一处理。
6、专测奖励:各等级漏洞奖金为固定金额,且不与其他活动奖励叠加;无需关注报告的业务系数,只需确认各等级积分/奖金与上表相符即可。
测试规则
1、严禁使用钓鱼邮件或社会工程手段。
2、禁止盗用或借用管理账号、内部账号进行测试。对于测试中使用的非抖音系普通用户账号,必须说明账号来源。无法追溯的账号将被视为非法使用或借用。
3、禁止进行网络拒绝服务(DoS或DDoS)测试。
4、在漏洞提交处理流程结束后,请立即删除所爬取内容。禁止转售/传输给第三方。对于损害抖音电商系统及用户利益的行为,我们保留追究法律责任的权利
5、除以上,详见相见V6.0公告中测试规则部分
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...