V
VULNERABILITY MARATHON
漏洞马拉松
顺丰站
无论最后是否披上满身荣耀
为了当初的自己,再战一回!
活动时间
2024年11月25日-2024年12月8日
接收范围
“顺丰控股股份有限公司”占股50%以上的资产,具体占股情况可在国家企业信用信息公示系统(https://www.gsxt.gov.cn)中查询。
活动规则&奖励
3倍奖励
【运单反爬专项】
✦漏洞等级:中危
✦方式:不限
✦账号规模:不限
✦抓取内容:SF运单号、时间、地区
✦渠道:不限
✦数量:实时爬取数量达百万级
(1)报告要求包括
1、报告标题【24年漏洞马拉松-运单反爬专项】
2、接口地址、测试账号、爬取时间、爬取接口、入参、出参、爬取手法。
3、运单数据明细文档,数量不低于100条不高于200条,证明即可
4、账号、请求日志、脚本代码、接口地址明细等
注:爬虫手法:可使用常见爬虫手法,如hook真机、模拟器、浏览器自动化、纯脚本等。
(2)注意事项
1、爬取过程中请务必不要超过100qps,不得发起大量请求
2、多接口,多账号爬取到运单需去重后计算有效数量
3、爬取到的运单数和真实总数误差≤5%则认为是有效情报
4、报告收取以提交时间为准,相同报告下只对第一时间提交报告的发放奖励
6、对于测试中使用的非顺丰系统普通用户账号,必须说明账号来源,无法追溯的账号将被视为非法使用或借用
7、不可通过三方数据公司获取数据
8、 不得公开测试过程细节
2倍奖励
1、RCE类漏洞—规则见《SFSRC安全漏洞评分标准V6.2》
2、高危/严重安全情报(入侵/数据泄露情报类)—规则见《SFSRC安全情报评分标准V2.0》
1.5倍奖励
高危及以上数据泄露类漏洞—规则见《SFSRC安全漏洞评分标准V6.2》
漏洞马拉松奖励
在漏洞盒子平台提交相同标题的漏洞报告(无需同步漏洞详情),将获得漏洞马拉松奖励。
额外奖励
Top 1:¥3000沃尔沃GIFT卡
Top 2:¥2000沃尔沃GIFT卡
Top 3:¥1000沃尔沃GIFT卡
Top 1-20:可直接领取2024白帽世界大会入场券
声明
(1)报告标题需带上【24年漏洞马拉松】,否则拿不到比赛积分,只需同步漏洞标题到漏洞盒子即可,无需填写漏洞详情!只收标题。
(2)活动期间,为了将白帽测试行为与真实黑客攻击区分开,麻烦师傅们提交漏洞报告时补充测试所用IP和测试用户名于报告第一行。
(3)本次活动漏洞评分以《SFSRC安全漏洞评分标准V6.2》&《SFSRC安全情报评分标准V2.0》为准。
(4)RCE类漏洞,证明漏洞存在即可,可执行无危害命令如whoami、ipconfig/ifconfig,严禁进行内网漫游、拖取数据、更改系统或业务配置等操作,,我司对违法行为将保留法律追诉的权利。
(5)漏洞安全报告请务必详细,完整还原漏洞发现过程和危害,具体请参考标准第三章节:漏洞报告质量。
(6)参与测试的白帽,禁止将测试截图、数据包等相关信息外发给第三者,一旦发现将取消本次活动参与资格。
(7)顺丰SRC对本次活动保留最终解释权。
文末抽奖
转发本推文到朋友圈
并集赞10个即可参与抽奖
