限额25人报名从速！饿了么邀请众测来啦～

饿了么邀请众测

先知官网活动页面仅做报名使用，请勿从活动入口提交漏洞，报名通过后请直接在饿了么项目下提交漏洞：

https://yundun.console.aliyun.com/?p=xznew#/taskmanagement/tasks/detail/138

01

活动时间

2024.06.11 10:00  -  2024.06.18 23:59:59

活动不设置禁止时间，但不允许使用有损线上业务运行的攻击方式，例如高并发的扫描、拒绝服务等，特别是在双高峰时段：12 am - 2 pm，6 pm - 9 pm

02

活动限额

活动限额25人，饿了么Top白帽子、王牌A白帽子优先

03

活动范围

本次活动是传统安全风险范畴，隐私合规等不在本次范围内。

本次活动nr.ele.me及open-retail.ele.me提高至核心资产等级，活动结束后不再降级。

资产范围：

• 饿了么：归属饿了么的各类web端、APP、小程序（主要为饿了么C端，饿了么商家版、零售商家版、商家开放平台、零售开放平台）

• 客如云：仅限于客如云商家版 pos.keruyun.com 网站内，域名为 saas.keruyun.com 的接口的漏洞

04

活动奖励

本次活动设立最高奖金池15万元，若活动漏洞奖励超出奖励池，则恢复日常奖励。

1.高危严重双倍奖励

饿了么所有业务高危严重奖励双倍，王牌A叠加

2.排名奖励

按活动中有效高危严重漏洞总积分排名，排名前三者可获得额外奖励：

• 第一名：15000

• 第二名：8000

• 第三名：4000

注：第二、三名至少提交一个高危严重漏洞，第一名至少两个高危严重漏洞

05

漏洞定级标准

漏洞定级标准请参见饿了么项目：

https://yundun.console.aliyun.com/?p=xznew#/taskmanagement/tasks/detail/138

06

活动规则

一、测试要求

1. 测试越权等问题时，请严格限制在测试账号范围内测试，避免影响正常用户；

2. 可能影响其他真实用户的Payload请在测试验证漏洞存在后及时删除；

3. 若以上要求确实无法避免的，请及时联系ASRC运营人员，获得同意后再测试，涉及到真实账号、用户信息遍历等问题，请严格限制读取条数。

4. 不能破坏线上服务的稳定运行，禁止测试任何蠕虫类、拒绝服务类(服务端)漏洞、可能导致拒绝服务的漏洞；客户端拒绝服务漏洞严格控制影响范围；

5.账号爆破、验证码爆破等爆破类漏洞、邮件短信轰炸类漏洞等暂不在此类活动范围。

二、注意事项

1.本次众测请勿使用任何形式的自动化测试工具、脚本进行测试、暴力破解、Fuzzing等。

2.遵守SRC测试规范，对于可深入利用的漏洞需要联系运营人员确认后才能继续，如后台弱口令登录后的功能查看、信息查看、漏洞深挖等。

3.漏洞确认以接口为准。譬如网站和app都存在任意密码重置漏洞，但是接口完全一致，算一个漏洞，请知晓。

4.通过弱口令、爆破等方式进入管理后台后发现的注入、越权等漏洞会做打包或者降级处理。

5.本次只有第一个提交的漏洞会被确认(漏洞描述不清的直接忽略) ，其余按照重复忽略。

6.SQL注入要求至少到注出数据库名称，不达标按驳回处理；

7.如果业务全站都未做过滤，存在十几个或者几十个注入等漏洞，ASRC会做一定的特殊处理，仅确认前三个，不提倡刷洞。

8.同一功能模块下多个注入点或者多个XSS、CSRF、越权等算一个漏洞。

9.测试过程中发现问题，请联系@观行 处理。

10.请按照漏洞标准正确勾选等级，勿随意勾选严重漏洞等级。

11.本次活动只接收符合以上标准的漏洞。

12.禁止使用大型自动化扫描工具，避免对用户的生产系统造成意外破坏，尽量手测；请勿进行可能影响服务稳定的测试，如DoS等。

13.该项目属于私密型项目，要求绝对保密，禁止将项目内容外泄，如若违规，取消以后所有众测机会。

14.禁止利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为的，同时阿里巴巴集团保留采取进一步法律行动的权利。

END