活动时间
即日起
~
2024年7月5日 18:00
测试范围:微信公众号、腾讯新闻等
**测试域名:**mp.weixin.qq.com
微信公众号相关接口
1. 微信公众号文章列表
2. 历史文章
3. 文章详细内容
注:详情报名后公布。反爬虫专项将不定期上线新业务,敬请关注后续公告。
标准及奖励
攻击手法:纯协议脚本、模拟器或真机等
有效爬取数量:按照业务规则去重后的公众号文章数量
同类型工具(协议挂/模拟器/真机)、同个接口,即算同一种手法
其他-反爬视野范围外的漏洞:任意可被验证的爬虫情报信息,酌情定级。
注1:
1.反爬虫专项的情报/漏洞不参与TSRC月度额外现金奖评比。
2.单一接口指获取文章链接的接口,从百度、bing等搜索引擎以及三方数据平台等公开站点获得的文章链接不计在本次活动之内,搜狗等渠道获得的临时链接不在本次活动之内。
3.同一手法、同一用户只能拿最高档奖金。
4.同一手法指工具类型(协议挂/模拟器/真机)相同、获取文章链接的接口相同。
注2:
纯协议脚本指不借助任何真机/模拟器资源即可爬取
模拟器、真机指利用浏览器(web端)、手机(移动端)等自动化手段辅助进行爬取
禁止使用与腾讯B端场景下接口爬取,对于需登录的场景,爬取周期里必须使用相同的账号
有效爬取一天,指需要一天内完成爬取数量要求
1. 有效爬取数量是单日内按照业务规则去重后的文章数量
2. 限定只使用单个接口进行爬取
参与方式
此次测试为预报名制,参与者需在报名入口提前报名,并遵守活动相关规则进行测试,方可享受活动奖励。此次参赛人数上限为100人。
进入链接或扫码报名👇
报名链接:
https://wj.qq.com/s2/11231714/1c9b/
其他规范:
**1.TSRC官网提交:**报告名称以“反爬虫众测”开头,提交官网选择分类【安全情报-其他】
2. 报告内容应包括但不限于以下几个方面**:**
a. 全量爬取数据
b. 测试账号、IP、脚本代码、接口地址、请求日志
3. 同一接口或同一方法先到先得
4. 通过第三方工具(如github上已公布的爬虫工具)或平台爬取的数据暂不收取
5. 有效爬取的数据不包含临时链接
6. 活动建议使用测试账号,TSRC不统一受理测试账号解封相关事宜。
漏洞提交基本原则
1、未经腾讯授权,您不得向任何第三方公开漏洞或提供任何与腾讯产品有关的安全情报。如发现相关情形,TSRC有权收回您因该漏洞获得的全部TSRC奖励及福利。
2、测试过程不得损害业务正常运行,不得以测试漏洞借口尝试利用漏洞损害用户利益,影响业务的正常运行或盗取用户数据等行为。
3、禁止内网渗透行为,包括但不限于利用 SSRF 或其他漏洞扫描内网、尝试系统提权等行为。
4、禁止进行网络拒绝服务攻击,包括但不限于 DoS、 DDos、CC 或其他明确在尝试前可知会影响服务稳定性的拒绝服务攻击。
5、禁止下载和业务相关的敏感数据,包括但不限于源代码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除。
6、在测试未限制发送次数的短信功能时,需填写自己的手机号,禁止对其他用户号码进行尝试。
7、禁止使用可能造成业务影响的漏洞尝试工具,包括但不限于 SQLMap 等,使用时需确认不会对业务数据造成破坏性的影响。
8、在测试过程中如包含数据获取功能时,包括但不限于 SQL 注入、用户资料的越权获取等,应尽可能的采取手动尝试,且获取的数据量不能超过 10 组,相关数据也需在报告后尽快删除。
9、测试越权尝试或其他可能影响用户数据的操作时,需尽可能将尝试控制在自己创建的多个账号生成的内容中,不得影响到线上业务中其他用户的正常数据。
10、禁止通过物理接触、社会工程学、钓鱼、水坑等不涉及 TSRC 奖励计划的非技术漏洞尝试。
11、我们反对和谴责一切以漏洞测试为借口,利用安全漏洞进行破坏,损害腾讯系统及腾讯用户的利益的攻击行为,对相关行为我们保留追究法律责任的权利。
12、漏洞测试和提交准则请参照《腾讯外部威胁情报处理流程》和遵守《SRC行业安全测试规范》。
补充说明
在漏洞处理过程中,如果报告者对处理流程、漏洞评定、漏洞评分等具有异议的,请通过当前漏洞报告页面的评论功能或者页面中的“一键联系处理人员”、“联系值班人员”的按钮及时沟通。腾讯安全应急响应中心将根据漏洞报告者利益优先的原则进行处理,更多详情请参照“腾讯外部漏洞报告处理流程”。
附:《TSRC漏洞处理和评分标准》,详情请参考
