2024漏洞马拉松-顺丰站

无论最后是否披上满身荣耀

为了当初的自己，再战一回！

活动时间

2024年11月25日-2024年12月8日

接收范围

“顺丰控股股份有限公司”占股50%以上的资产，具体占股情况可在国家企业信用信息公示系统（https://www.gsxt.gov.cn）中查询。

活动规则&奖励

【运单反爬专项】

✦漏洞等级：中危

✦方式：不限

✦账号规模：不限

✦抓取内容：SF运单号、时间、地区

✦渠道：不限

✦数量：实时爬取数量达百万级

（1）报告要求包括

1、报告标题【24年漏洞马拉松-运单反爬专项】

2、接口地址、测试账号、爬取时间、爬取接口、入参、出参、爬取手法。

3、运单数据明细文档，数量不低于100条不高于200条，证明即可

4、账号、请求日志、脚本代码、接口地址明细等

注：爬虫手法：可使用常见爬虫手法，如hook真机、模拟器、浏览器自动化、纯脚本等。

（2）注意事项

1、爬取过程中请务必不要超过100qps，不得发起大量请求

2、多接口，多账号爬取到运单需去重后计算有效数量

3、爬取到的运单数和真实总数误差≤5%则认为是有效情报

4、报告收取以提交时间为准，相同报告下只对第一时间提交报告的发放奖励

6、对于测试中使用的非顺丰系统普通用户账号，必须说明账号来源，无法追溯的账号将被视为非法使用或借用

7、不可通过三方数据公司获取数据

8、  不得公开测试过程细节

1、RCE类漏洞—规则见《SFSRC安全漏洞评分标准V6.2》

2、高危/严重安全情报（入侵/数据泄露情报类）—规则见《SFSRC安全情报评分标准V2.0》

高危及以上数据泄露类漏洞—规则见《SFSRC安全漏洞评分标准V6.2》

在漏洞盒子平台提交相同标题的漏洞报告（无需同步漏洞详情），将获得漏洞马拉松奖励。

Top 1：￥3000沃尔沃GIFT卡

Top 2：￥2000沃尔沃GIFT卡

Top 3：￥1000沃尔沃GIFT卡

Top 1-20：可直接领取2024白帽世界大会入场券

（1）报告标题需带上【24年漏洞马拉松】，否则拿不到比赛积分，只需同步漏洞标题到漏洞盒子即可，无需填写漏洞详情！只收标题。

（2）活动期间，为了将白帽测试行为与真实黑客攻击区分开，麻烦师傅们提交漏洞报告时补充测试所用IP和测试用户名于报告第一行。

（3）本次活动漏洞评分以《SFSRC安全漏洞评分标准V6.2》&《SFSRC安全情报评分标准V2.0》为准。

（4）RCE类漏洞，证明漏洞存在即可，可执行无危害命令如whoami、ipconfig/ifconfig，严禁进行内网漫游、拖取数据、更改系统或业务配置等操作，，我司对违法行为将保留法律追诉的权利。

（5）漏洞安全报告请务必详细，完整还原漏洞发现过程和危害，具体请参考标准第三章节：漏洞报告质量。

（6）参与测试的白帽，禁止将测试截图、数据包等相关信息外发给第三者，一旦发现将取消本次活动参与资格。

（7）顺丰SRC对本次活动保留最终解释权。

文末抽奖

转发本推文到朋友圈

并集赞10个即可参与抽奖