新项目丨美团安全测试项目上线火线啦~

01

美团全域，属于美团及旗下所有开放在互联网的应用系统，包括但不限于：

*.meituan.com

*.meituan.net

*.dianping.com

*.neixin.cn 等。

美食、外卖、酒店、机票/火车票、内信，美团单车、休闲娱乐、丽人、结婚、亲子、周边游、运动健身、购物、家装、学习培训、生活服务、医疗健康、爱车、宠物、酒吧/密室逃脱，美团、大众点评、美团外卖、美团优选、美团众包、美团打车、美团买菜、美团民宿、美团好货、美团配送、美团优选团长、美团骑手、快驴进货、美团打车司机、美团外卖商家端、美团开店宝、团好货商家版等。

02

03

• 包括但不限于反射型XSS、非关键业务的存储型XSS等；

• 低敏感度信息泄漏；

• 公司内部普通数据泄露，如：包括但不仅限于SVN 信息泄漏、配置信息等；

• 根据设备、系统、软件或框架的官方告警正在修复的漏洞；

• 短信轰炸。

    注意事项：

1.当发现入侵类风险后需周知美团，经授权后才能进行横向移动，未经授权禁止植入后门或者对内网其他主机进行测试；

2.禁止邮件钓鱼社工；

3.禁止盗用或借用管理账号、内部账号进行测试，测试使用的非美团普通用户账号，需说明账号来源，不明来源的账号视为违规盗用或借用；

4.禁止用扫描器或其他自动化工具，只允许手工测试；

5.测试SQL注入类漏洞时，应采取手工注入，且获取的数据量不能超过10组；

6.禁止网络拒绝服务（DoS 或DDoS）测试；

7.严禁利用漏洞下载/保存源代码、用户个人信息等敏感数据。若在不知情情况下下载，应及时告知美团SRC工作人员并删除；8.测试命令执行漏洞时，证明漏洞即可，禁止植入文件或者对内网其他主机进行扫描测试；

9.测试验证越权漏洞等逻辑风险时，请自行注册测试账号进行测试。务必控制测试范围，不得危害系统正常数据或影响正常用户使用；

10.禁止进行物理测试、社会工程学测试或邮件钓鱼等任何其他非技术漏洞测试；

11.获取网站的权限时，禁止修改代码文件或植入后门等操作；

12.参与测试的同学，需要遵守保密协定，勿将页面截图、功能模块详情等外传泄露；

13.须知：单个系统只收取前三个相同类型的漏洞；

14.我们反对和谴责一切以漏洞测试为借口，利用安全漏洞进行破坏、损害美团系统及用户的利益的攻击行为，我们保留追究法律责任的权利；

15.须知：活动期间，首杀/白帽关怀关闭。

16.在需要输入的地方加上安全测试或者测试字样；

17.测试红线：避免无意义的重复性扫描。

微信号 : huoxian_zone