10月15日-10月29日
生活服务专测还在继续
安全漏洞+爬虫同步收取中
💰双倍积分 马上Get💰
*提交报告标题备注【生服专测】*
安全漏洞
1
专测范围
【抖音团购相关模块】入口:抖音app-团购
【抖音来客】life.douyin.com
【抖音生意经】www.life-data.cn
【抖音集星】www.lifecreator.cn
【抖音本地直播专业版】eos.douyin.com
【抖音生活服务学习中心】lifexue.com
【抖音来客app】应用商店搜索“来客app”进行下载(iOS v8.1.5;Android v8.1.5)
2
专测奖励
专测范围内严重、高危、中危漏洞2倍积分
漏洞评级标准详见官网「处置规则V6.0」
3
特殊说明
本次专测暂不收取CSRF漏洞;同一个商家/服务商/机构内的越权在专项治理中暂不收录,如有危害很高的垂直越权酌情考虑收取,等级不超过中危。
请严格遵守「字节跳动安全响应中心安全报告处置规则V6.0」测试规范。
爬虫漏洞
1
爬取入口及要求
抖音集团系所有可访问生服团购到手价数据的模块,包括不限于:抖音app-团购、今日头条app-搜索本地团购、其他
抖音集团系所有可访问商家经营数据的模块,包括不限于:
【抖音来客】 life.douyin.com
【抖音林客】www.lifecreator.cn
【抖音集星】www.life-partner.cn
【本地直播专业版】eos.douyin.com
2
有效爬取标准及奖金
严重漏洞:20,000元
高危漏洞:10,000元
中危漏洞:4,000元
低危漏洞:1,000元
3
爬虫报告提交要求
请按照如下格式提交,并要求录制爬取过程中的一段屏幕视频(日期、账号、脚本执行过程、不小于100条获取数据)用于内部验证爬取有效性,需提交内容包括但不限于:
4
测试规范及补充说明
禁止使用钓鱼邮件、社会工程手段,或未经授权使用第三方数据API、中间人攻击来获取数据
禁止影响正常的业务运行,包括但不限于发起大量级或高频次请求、内网渗透及内网数据爬取等
禁止盗用或借用管理账号、内部账号进行测试。对于测试中使用的非普通用户账号,需说明账号来源。无法追溯的账号将被视为非法使用或借用
在漏洞定级后,请立即删除本地数据,禁止转售/传输给第三方,并在测试过程中发现的漏洞问题禁止对外公开
通过测试锁定的账号可在活动结束后统一联系运营解封(需在爬取报告中体现账号爬取日志)
无效爬取说明
-不符合爬虫漏洞要求的数据均为无效数据
-同一漏洞问题重复提交视为无效,先到先得
如有侵权请联系:admin#unsafe.sh