漏洞马拉松
--活动来袭--
01
活动时间
JSRC活动时间:12.9~12.23
02
提交地址
https://security.jd.com/
03
马拉松高危奖
活动范围:京东全业务
提交格式:漏洞标题请添加【2024漏洞马拉松】
1.高危额外奖励
一般业务、核心业务高危及严重双倍奖励
2.高危首杀奖励
首个提交有效高危白帽可额外获得1000现金奖励(按照提交时间计算,非漏洞确认时间)
3.个人高危贡献奖励
活动期间个人提交有效严重、高危漏洞积分(积分≥2000,且提交有效高危个数≥5)
TOP1:5000元
TOP2:3000元
TOP3:1000元
04
反爬专项奖励
活动范围:京东集团所有app、web/h5、小程序/m、京东集团B端
漏洞评级:主要从端、有无账号、单账号产能和单账号存活周期、以及账号规模评定
仅限以下品类:
收取类型一:可爬取评论数据
报告奖励标准:
收取类型二:可爬取商品价格
报告奖励标准:
报告提交标准
1、报告标题添加【反爬专项】
2、公司部门选择京东反爬
3、接口地址
4、价格/评论明细文档
5、账号、请求日志、脚本代码、接口地址、sku_id、sku名称、sku真实价格、优惠信息/商品评论总数/销量总数爬取明细等
漏洞报告无法上传文档,请使用JoySpace共享文档,将文档链接附在报告中。
如何使用JoySpace交付文档保姆级教学:
1、请登陆joyspace.jd.com
2、点击扫码登录下方的【京东账号登录】
3、可新建文档/表格
4、分享中设置访问范围为内部公开
5、将链接粘贴致漏洞报告中
6、完成
注意事项
1、爬取过程中请务必不要超过100qps,不得发起大量请求
2、爬取到价格为当天真实到手价为有效情报,红字价等于到手价的skuid数量要<=50%
3、B端接口、非京东主站APP(如:京东极速版、京喜、京东养车等)接口漏洞等级自动降一级
4、接口拼接自动降一级
5、在接口返回值中,获取清单内 sku下精准的价格/评论数/销量数和真实总数误差<=5%则认为是有效情报
6、报告收取以提交时间为准,相同报告下只对第一时间提交报告的发放奖励
7、对于测试中使用的非京东普通用户账号,必须说明账号来源,无法追溯的账号将被视为非法使用或借用
8、不可通过三方数据公司获取数据
9、不得公开测试过程细节
05
业务资产参考
【核心业务】:涉及京东支付系统、京东账户系统、京东用户敏感信息、订单详细信息的相关平台或网站。
【一般业务】:涉及京东运营数据、物流统计信息数据及商家业务数据的网站。
【边缘业务】:京东五星、达达快递、涉及合作商家网站、商家营销后台、非支付功能的网站/平台。
【不收取资产】:非京东全资子公司资产,如京东酒世界、跨越速运、爱回收、中德安联资产,及北京华冠商业科技发展有限公司资产及对外赋能业务。
注:
1、本次马拉松活动不与其他活动叠加,提交漏洞标题需添加【2024漏洞马拉松】,若无则视为不参与本次活动,基础奖励以积分形式发放,额外奖励活动结束后统一发放现金;
2、反爬专项与马拉松奖励不共享,反爬奖励活动结束后直接发放现金;
3、请严格遵守测试规范,若有疑问可通过京东安全应急响应中心公众号联系运营人员。
如有侵权请联系:admin#unsafe.sh