双倍积分 | 生活服务漏洞+爬虫双专测开启

字节跳动安全中心 2025-03-12 11:17

专测时间

3月12日-3月26日

① 安全漏洞专测

安全漏洞专测范围

【抖音团购相关模块】入口：抖音app-团购

【抖音来客】life.douyin.com

【抖音生意经】www.life-data.cn

【抖音集星】www.lifecreator.cn

【抖音本地直播专业版】eos.douyin.com

【抖音生活服务学习中心】lifexue.com

【生意经】https://www.life-data.cn

【抖音来客app】应用商店搜索“来客app”进行下载（iOS v9.8.0；Android v9.8.0）

【抖音销帮app】应用商店搜索“抖音销帮”进行下载（iOS v1.5.0；Android v1.5.0）

安全漏洞专测奖励

严重、高危、中危漏洞
2倍积分

提交报告标题请备注
【生服专测】

测试账号申请

1、抖音来客系统(life.douyin.com)可申请测试账号

2、申请要求：在字节SRC提交过至少1个有效漏洞，联系运营提供ID、手机号及IP

3、生活服务特殊测试约束：
– 禁止修改POI门店信息；

• 不能利用平台漏洞改掉测试商户的属性；

• 测试账号仅限本人使用，非必要不外借；

• 测试内容不含敏感违规词汇，禁止直接使用任何违反平台规定或法律法规的文字、图片、视频作为测试素材，相关内容不可体现出业务安全相关策略、模块等标识。

特殊说明

1、本次专测暂不收取CSRF漏洞；同一个商家/服务商/机构内的越权在专项治理中暂不收录，如有危害很高的垂直越权酌情考虑收取，等级不超过中危。

2、报告标题必须备注【生服专测】，否则无法享受活动奖励。

3、请严格遵守「字节跳动安全响应中心安全报告处置规则V6.0」测试规范。

② 爬虫漏洞专测说明

爬虫入口及要求

1、抖音集团系所有可访问生服团购到手价数据的模块，包括不限于：抖音app-团购、今日头条app-搜索本地团购、其他

2、抖音集团系所有可访问商家经营数据的模块，包括不限于：

【抖音来客】life.douyin.com

【抖音林客】www.lifecreator.cn

【抖音集星】www.life-partner.cn

【本地直播专业版】eos.douyin.com

有效爬取标准及奖金

严重漏洞20000元

高危漏洞10000元

中危漏洞4000元

低危漏洞1000元

提交报告标题请备注
【生服爬虫】

爬虫报告提交要求

请按照如下格式提交，并要求录制爬取过程中的一段屏幕视频（日期、账号、脚本执行过程、不小于100条获取数据）用于内部验证爬取有效性，需提交内容包括但不限于：

测试规范及补充说明

1、禁止使用钓鱼邮件、社会工程手段，或未经授权使用第三方数据API、中间人攻击来获取数据

2、禁止影响正常的业务运行，包括但不限于发起大量级或高频次请求、内网渗透及内网数据爬取等

3、禁止盗用或借用管理账号、内部账号进行测试。对于测试中使用的非普通用户账号，需说明账号来源。无法追溯的账号将被视为非法使用或借用

4、在漏洞定级后，请立即删除本地数据，禁止转售/传输给第三方，并在测试过程中发现的漏洞问题禁止对外公开

5、通过测试锁定的账号可在活动结束后统一联系运营解封（需在爬取报告中体现账号爬取日志）

6、无效爬取说明

-不符合爬虫漏洞要求的数据均为无效数据

-同一漏洞问题重复提交视为无效，先到先得

7、报告标题必须备注【生服爬虫】，否则无法享受活动奖励

8、请严格遵守「字节跳动安全响应中心安全报告处置规则V6.0」测试规范