货拉拉SRC反爬虫专项测试活动

活动时间

即日起～11月15日

测试范围

【测试域名】

https://qapi.huolala.cn

https://uapi.huolala.cn

测试范围：仅限货拉拉用户端的小程序、APP，仅限拉货场景（排除跑腿），禁止超范围测试。

爬虫手法：可使用常见爬虫手法，如hook真机、模拟器、浏览器自动化、纯脚本等。

总奖金池

20万元

（按提交有效完整报告的时间顺序发放奖励）

风险等级及奖金矩阵

【测试场景】

本次活动重点关注2个场景：

1. 未登录状态下获取不同路线各车型的价格

2. 登录态下批量获取不同线路各车型的真实价格

【定级标准】

本次活动的定级等级和要求如下：

线路的定义：不同的线路起终点需要有变更，起点终点相互差异要超过600米，同一条线路变更车型仍为同一条线路。

例如：下图中的线路B等效于线路A，因为起终点的距离未超过600米; 线路C和线路D相比线路A则算是一条新的线路。

测试要求

【测试账号报备】

本次测试活动为邀请制，受邀请的同学测试前需完成报备，并遵守活动相关规则进行测试，方可享受活动奖励。为了避免争议和方便审核，请您在活动测试前，请报备您将在测试中使用的用户账号，使用未报备的账号进行爬虫行为，可能会被视为恶意攻击行为。报备账号如果被封，活动完成之后会统一解封。

报备链接：https://wj.qq.com/s2/15640671/2104/

【测试规则】

在进行数据获取与安全测试时，必须遵循法律法规要求，不能影响到公司的正常业务运营。以下为关键行为准则概要：

1. 正当获取数据原则：严禁采用非法手段，包括钓鱼、社会工程学或未经授权使用第三方数据API、中间人攻击等，来收集数据。测试账号必须报备，任何未经许可的账号使用均视为违规。

2. 网络行为规范：严格禁止执行任何可能干扰网络服务正常运行的行为，如发起DoS/DDoS攻击、内网渗透及内网数据爬取等，确保网络环境的安全稳定。

3. 数据保护与处理：测试中获取的数据应严格保密，仅限于漏洞验证目的，并在验证完成后立即删除，禁止在公开渠道发布，禁止向任何第三方披露或用于任何商业用途。特别强调，不得触及消费者个人信息、订单详情等敏感数据，一旦发现越权访问，需即刻报告并清除相关数据。

4. 测试操作的界限：测试活动不允许正式下单，需确保不对正常业务运营造成负面影响，跑腿车型不纳入测试范围，且不得利用漏洞损害用户权益或窃取数据。测试账号遭遇风控措施属于正常流程，将在测试周期结束后复审处理。

5. 法律责任与道德标准：明确反对并禁止利用非技术手段如物理接触、社会工程学进行所谓“测试”，任何此类行为将视为严重违规，公司保有追究法律责任的权利。

6. 保密原则：测试活动过程中保管、接触的有关货拉拉相关数据及漏洞信息，不论在测试期间或是测试终止，都属于货拉拉的商业秘密。非经货拉拉授权，不得直接或间接地使用、发表、泄露或公开。

漏洞报告提交说明

【报告提交地址】

1. 请从此LLSRC官网提交：https://llsrc.huolala.cn/#/addvul

2. 报告名称请以“反爬虫众测”开头，提交官网漏洞类型请选择：移动客户端漏洞>其他。

【提交报告内容】

需按照如下格式提交，用于内部验证爬取有效性包括但不限于：

接口地址、测试账号、爬取时间、爬取接口、入参、出参、爬取手法;
要求录制爬取过程中的一段屏幕视频,视频需包含日期、账号、爬取执行过程、视频中录制的数量不低于100条；
全量爬取的明细数据,包含必须数据：用户ID，路线（起终点信息)，车型，价格; 数据文件请按照白帽子活动报告数据提交模版（https://docs.qq.com/sheet/DUUJVdURaVnJWT1hT）整理后通过附件提交。

注：

报告必须包含上述要求中的所有内容,未能完整提供上述信息的报告视为不完整报告,可能会被驳回或要求补充,报告审核时将以最终收到完整信息报告的时间作为有效提交时间,可能会影响您报告的审核时效、重复报告的先后判定等。

补充说明