活动|房产定向众测活动

阅读量    32274 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

活动地址:https://security.58.com/vul/submit/?pts=1604399080671

 

活动简介:

房产定向众测活动

 

活动时间:

11月1日-30日

 

活动地点:

https://security.58.com/vul/submit/?pts=1604399080671

 

主办方:

58安全应急响应中心

 

活动详情:

一.测试范围

1、.58.com
2、
.anjuke.com

 

二.活动时间

漏洞提交时间:11月1日~11月30日

 

三.活动奖励

1、以漏洞实际等级为基本依据,根据报告质量和漏洞类型有浮动。

本次活动仅奖励金币,不奖励rank积分,不算排名儿。

1)严重漏洞奖励基准:7000¥
2)高危漏洞奖励基准:3500¥
3)中危漏洞奖励基准:800¥
4)低危漏洞奖励基准:200¥

2、凡提交有效漏洞者,均赠送天鹅到家100元优惠劵一张。

 

四.漏洞提交说明

1、漏洞提交地址:58SRC官网(https://security.58.com);
2、提交名称格式为(众测3-漏洞名称), 如提交漏洞格式不符合,此漏洞将不参与众测奖励。不在众测范围内的漏洞请勿添加众测标题。
3、本次定向测试所提交的漏洞不参与月度、季度奖励评比;并且,不与其他活动奖励同享。
4、58SRC对本次活动相关规则保留最终解释权。

 

五、众测规则及奖励

1、测试目标:

发现已经存在或潜在的如下类型漏洞、风险或情报

批量抓取小区、二手房房源、租房房源或商铺、厂房、仓库信息;
泄露用户敏感数据;
免费无限次刷新帖子;
绕过房源核真;
能够或已经实施前所述行为的黑产情报、黑产工具/代码;

 

2、漏洞有效性认定:

完全满足下列任意1条,即可认定为有效漏洞、风险、情报或攻击。如果存在单条漏洞、风险、情报或攻击符合多条标准的,按定级较高的进行认定。抓取类漏洞需要结合“定级标准”中的数量进行有效性认定。

(1)批量抓取房源漏洞或风险:

1) 抓取方式:

i) 使用任意固定IP进行抓取;
ii) 不认可重新拨号更换IP、使用代理服务器、vpn等非实质技术性IP欺骗;但是认可通过伪造xff头、伪造IPv6地址、伪造IP头或利用网络、应用层协议漏洞、流程等进行IP伪装等方式进行的实质技术性IP欺骗;
iii)  抓取量级必须能够达到定级中相应级别的标准;
若任意级别的抓取量级都无法达到,即使抓取行为真实存在、可操作,也不认定为有效漏洞或风险;即,仅认定定级标准中存在抓取量级范围的漏洞或风险为有效报告;
iv) 爬取时间长度需要短于定级标准中的时间

2) 有效房源信息:

i) 下述小区信息、房源信息、户室号,均认定为有效信息:
小区信息:至少能抓取到小区id、地址、坐标、年代、均价5个信息;若信息少于5个但是明显存在被爬取的漏洞或风险,审核人员有权根据实际影响酌情认定;
二手房房源信息、租房、厂房、仓库:必须为个人(非经纪人)房源;从帖子id、小区或房源地址、价格、楼层、户型、面积、房源动态这几个维度中,能抓到到帖子id+帖子id以外至少4个维度的信息;
户室号:至少能抓取到住宅小区的id或名称、楼栋号、单元号、房号、房间数量、客厅数量。商业办公、厂房、仓库等类不属于认定范围。
ii)  若抓取到的信息格式为图片,需要图片本身能够人眼识别出有效信息
iii) 若抓取到的信息格式为加密后的文本,需要证明加密文本能够被解密
iv)   小区与房屋的内景、外景、装修、看房的视频、图片不认定为有效的抓取信息;
v)    经纪人带看反馈、用户评论与反馈不认定为针对有效的抓取信息;
vi)   若抓取的信息由多种信息共同构成,仅认定爬取数量最大的一类信息;若需要按数量较少的类型进行认定,请在报告中留言说明;

3) 暂不接收通过xss、json hijack等方式抓取不特定来访用户所发布房源信息,如有提交,按照普通(非活动)漏洞处理;

4) 提交报告内容

i) 抓取到的房源信息
ii)用于抓取的代码
iii) 抓取所使用的IP(非必要,但是会加快审核速度)

(2)泄露用户敏感数据

由58提供中转通话,以保护通话双方的真实电话号码不会相互泄露。此类被拨打的号码称为中间号。

下文所指的userid、店铺id,均指58主站及安居客的userid及该userid关联的店铺id;不包括赶集、中华英才、58同镇、转转等可以使用58账号关联登录的其他账号体系的userid、店铺id。

1) 泄露特定场景下的用户真实电话号码
i) 不认可用户通过头像、个人简介、帖子正文、地址、聊天等方式暴露的真实电话号码;
ii)暂不接收通过xss、json hijack等方式获取不特定来访用户的电话号码;如提交此两类漏洞,暂时按照普通(非活动)漏洞处理;
iii)直接泄露个人(非经纪人)发布的二手房、商铺、厂房、仓库房源手机号(不含租房)

获取到的手机号可以是文本或图片;图片或ascii图画必须明显为人眼可识别的有效电话;加密文本必须证明可解密;

如果能通过技术手段(不得拨打中间号电话或其他方式联系用户)能够将中间号转化为真实手机号,也认定为泄露真实电话号码;

若实际是通过房源找到userid、用户名、邮箱等,并使用其他接口查询到用户电话号码(非房源帖子中的电话号码)的,不单独认定为本漏洞,改认定为提交了一个“泄露指定用户的电话号码“类漏洞;

2)泄露指定用户的电话号码

i)通过指定userid、店铺id、企业id、用户名、邮箱、企业名称等方式,直接获取到真实电话号码;
ii)暂不接收通过xss、json hijack等方式获取不特定、不稳定用户的电话号码;如提交此两类漏洞,暂时按照普通(非活动)漏洞处理;

3)提交报告内容

i)验证可行的截图及有效case
ii)存在问题的接口/人/渠道
iii)发现问题的方式

(3)免费无限次刷新帖子

单个免费账号在单一城市发布的房产类帖子,单日可实现有效刷新20次(含)以上。

具体要求:

1) 仅限二手房、租房、商业地产类别的帖子;

2)单一城市定义:一级城市,如北京、武汉等;不认可二级或以上城市,如朝阳区,酒仙桥地区;

3)原则上不认可“删掉帖子重新再发一次”形式的刷新,如需要提交,先与审核人员联系确认;

4)若刷新次数不能达到20次,但是相差不多,先与审核人员联系确认;

5)提交报告内容

i)实现了刷新的帖子id或账号id或账号绑定手机号;
ii)具体利用方式说明

 

4、伪造安选房源

待测试流程:

使用提供的测试账号(另行公布)登录后发布房源,房源本身处于非“安选”状态。通过上传房屋内部视频等方式,通过核验后,帖子正文会出现“安选”字样。

测试要求:

使用任何技术、社工手段(不包括使用真实证件、视频等通过核验),达成使房源处于“安选”状态,即视作攻击成功。

提交报告内容:

1) 实现绕过核真流程的帖子id号或房源号,至少2个
2) 具体利用方式说明

其他:

经验证确认,使用不同的渠道、手法绕过安选核验,但是经过核实原理相同的非技术手段绕过房源核真的报告,视作同源;同源报告依次做奖励降级减半处理,但是最多只接受3个同源报告。即,第1、2、3、4、5个相同原理的报告,分别能拿到100%,50%,25%,12.5%,0%的奖励。若同一人故意利用本规则刷奖励,则活动内所有已发放的奖励一并归零处理。

 

5、其他威胁情报:

(1) 有效情报形式:

1) 提供黑产已进行了前述问题相关攻击的情报,如用于展示已爬取房源的工具、网站、接口、数据库等;
2) 提供具体可以实施前述问题相关攻击的黑产工具、售卖工具的网站、售卖工具的qq或微信联系人等;

(2) 有效情报认定

情报本身需满足前述对应类型报告的审核要求;

(3) 奖励倾斜

1) 若白帽子没有进行有效的情报/工具分析,亦没有其他协助处置的行为,报告奖励将按对应类型及等级的奖励*0.8发放;
2) 若白帽子主动进行了情报/工具分析,且达到“还原了攻击原理、漏洞原理“程度的,将给与奖励金额*1.5至2的奖励倾斜;

(4) 提交报告内容

1) 对应问题类型的报告内容;
2) 其他有效的协助处理、分析的内容(非必要)

 

6.定级与奖励标准

除非另有说明,一般一份报告只能收到一次性金币奖励,目前所有类型的问题统一按定级给与金币奖励。部分问题类型仅接受部分级别的问题报告,具体请参看下表,若有不明之处,请及时联系运营。

泄露用户敏感数据b类的情况相对复杂,具体参看下表。若有不明之处,请及时联系运营。

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多