DSRC活动｜Fintech移动业务专项

 参与方式

2024.10.18 - 2024.10.24期间

在DSRC官网提交漏洞

并在漏洞标题前备注【Fintech专项】

即可参加活动

 活动范围

滴滴集团海外金融业务相关APP端入口，包括但不限于：

99pay

（安卓 7.2.28  app store 7.2.26）

DiDi Finanzas: Rápido y seguro

（安卓 1.7.8  app store 1.7.8）

wallet.didiglobal.com

wallet-us.didiglobal.com

https://manhattan-app.didiglobal.com/baldr

 奖励规则

1、活动范围内任意有效漏洞2倍奖励；

2、活动范围内特殊类型漏洞3倍奖励：

    👉 接口遍历导致的批量敏感数据泄露；

    👉 越权导致的批量敏感数据泄露；

    👉 RCE漏洞（命令执行，代码执行，文件上传等可获取服务器权限的漏洞）

3、首杀奖励：

前三个提交中危有效漏洞白帽可获得额外奖励500元；

前三个提交高危及严重有效漏洞白帽可获得额外奖励1000元；

4、排名奖励：

按照活动期间有效漏洞总积分排名，排名前三者可获得额外奖励。

    第一名：5000元（活动期间总积分需达1000）

    第二名：3000元（活动期间总积分需达800）

    第三名：1000元（活动期间总积分需达500）

 注意事项

1、活动中一切测试行为均需使用测试账号，测试账号可通过微信公众号发送消息联系DSRC运营获取；

2、活动中翻倍奖励将在活动结束后以京东卡形式单独发放，漏洞积分不翻倍；

3、特殊类型漏洞3倍奖励不与2倍奖励叠加；

4、特殊类型中敏感数据泄漏量级需达到数据量超过200条或者影响20个以上用户，未达到此标准的漏洞仅可参与2倍翻倍；

5、同档位首杀奖励一人仅可获得一次；

eg：weiyu在活动中提交的两个高危漏洞均为活动期间前三个高危有效漏洞，仅有第一个提交的高危漏洞可获得首杀奖励，第二个漏洞的首杀奖励按顺序后延给下一位白帽师傅。

 测试原则

1、未经DSRC授权，您不得向任何第三方公开漏洞或提供任何与滴滴产品有关的安全情报。如发现相关情形，DSRC有权收回您因该漏洞获得的全部DSRC奖励及福利。

2、测试过程不得损害业务正常运行，不得以测试漏洞借口尝试利用漏洞损害用户利益，影响真实用户的使用。 

3、禁止下载和业务相关的敏感数据，包括但不限于源代码、运营数据、用户资料等，若存在不知情的下载行为，需及时与DSRC联系，进行报备说明和删除。

4、禁止内网渗透行为，包括但不限于利用 SSRF 或其他漏洞扫描内网、尝试系统提权等行为。

5、禁止进行网络拒绝服务攻击，包括但不限于 DoS、 DDos、CC 或其他明确在尝试前可知会影响服务稳定性的拒绝服务攻击。

6、测试越权尝试或其他可能影响用户数据的操作时，需尽可能将尝试控制在自己创建的多个账号生成的内容中，不得影响到线上业务中其他用户的正常数据。 

7、活动期间，同一系统只收取前三个接口产生的同类型漏洞，第三个之后的漏洞忽略处理；

8、为提高审核效率，请按照漏洞标准正确勾选等级；

9、滴滴出行安全应急响应中心在法律允许范围内拥有对本活动评判标准和规则的解释权与修改权。

 转发福利