酷应用

活动｜房产定向众测活动

百家作者：58安全应急响应中心 2020-11-03 13:51:27

定向众测第三期

一．测试范围

1、*.58.com

2、*.anjuke.com

三．活动时间

漏洞提交时间：11月1日~11月30日

二．活动奖励

1、以漏洞实际等级为基本依据，根据报告质量和漏洞类型有浮动。

本次活动仅奖励金币，不奖励rank积分，不算排名儿。

1）严重漏洞奖励基准：7000￥
2）高危漏洞奖励基准：3500￥
3）中危漏洞奖励基准：800￥

4）低危漏洞奖励基准：200￥

2、凡提交有效漏洞者，均赠送天鹅到家100元优惠劵一张。

四．漏洞提交说明

1、漏洞提交地址：58SRC官网（https://security.58.com）；

2、提交名称格式为（众测3-漏洞名称）, 如提交漏洞格式不符合，此漏洞将不参与众测奖励。不在众测范围内的漏洞请勿添加众测标题。

3、本次定向测试所提交的漏洞不参与月度、季度奖励评比；并且，不与其他活动奖励同享。

4、58SRC对本次活动相关规则保留最终解释权。

五．众测规则

1、测试目标：发现已经存在或潜在的如下类型漏洞、风险或情报

批量抓取小区、二手房房源、租房房源或商铺、厂房、仓库信息；
泄露用户敏感数据；
免费无限次刷新帖子；
绕过房源核真；
能够或已经实施前所述行为的黑产情报、黑产工具/代码；

2、漏洞有效性认定：完全满足下列任意1条，即可认定为有效漏洞、风险、情报或攻击。如果存在单条漏洞、风险、情报或攻击符合多条标准的，按定级较高的进行认定。抓取类漏洞需要结合“定级标准”中的数量进行有效性认定。

（1）批量抓取房源漏洞或风险：

1) 抓取方式：

i) 使用任意固定IP进行抓取；

ii) 不认可重新拨号更换IP、使用代理服务器、vpn等非实质技术性IP欺骗；但是认可通过伪造xff头、伪造IPv6地址、伪造IP头或利用网络、应用层协议漏洞、流程等进行IP伪装等方式进行的实质技术性IP欺骗；

iii) 抓取量级必须能够达到定级中相应级别的标准；

若任意级别的抓取量级都无法达到，即使抓取行为真实存在、可操作，也不认定为有效漏洞或风险；即，仅认定定级标准中存在抓取量级范围的漏洞或风险为有效报告；

iv) 爬取时间长度需要短于定级标准中的时间

2) 有效房源信息：

i) 下述小区信息、房源信息、户室号，均认定为有效信息：

小区信息：至少能抓取到小区id、地址、坐标、年代、均价5个信息；若信息少于5个但是明显存在被爬取的漏洞或风险，审核人员有权根据实际影响酌情认定；

二手房房源信息、租房、厂房、仓库：必须为个人（非经纪人）房源；从帖子id、小区或房源地址、价格、楼层、户型、面积、房源动态这几个维度中，能抓到到帖子id+帖子id以外至少4个维度的信息；

户室号：至少能抓取到住宅小区的id或名称、楼栋号、单元号、房号、房间数量、客厅数量。商业办公、厂房、仓库等类不属于认定范围。

ii) 若抓取到的信息格式为图片，需要图片本身能够人眼识别出有效信息

iii) 若抓取到的信息格式为加密后的文本，需要证明加密文本能够被解密

iv) 小区与房屋的内景、外景、装修、看房的视频、图片不认定为有效的抓取信息；

v) 经纪人带看反馈、用户评论与反馈不认定为针对有效的抓取信息；

vi) 若抓取的信息由多种信息共同构成，仅认定爬取数量最大的一类信息；若需要按数量较少的类型进行认定，请在报告中留言说明；

3) 暂不接收通过xss、json hijack等方式抓取不特定来访用户所发布房源信息，如有提交，按照普通（非活动）漏洞处理；

4) 提交报告内容

i) 抓取到的房源信息

ii)用于抓取的代码

iii) 抓取所使用的IP（非必要，但是会加快审核速度）

（2）泄露用户敏感数据

由58提供中转通话，以保护通话双方的真实电话号码不会相互泄露。此类被拨打的号码称为中间号。

下文所指的userid、店铺id，均指58主站及安居客的userid及该userid关联的店铺id；不包括赶集、中华英才、58同镇、转转等可以使用58账号关联登录的其他账号体系的userid、店铺id。

1) 泄露特定场景下的用户真实电话号码

i) 不认可用户通过头像、个人简介、帖子正文、地址、聊天等方式暴露的真实电话号码；

ii)暂不接收通过xss、json hijack等方式获取不特定来访用户的电话号码；如提交此两类漏洞，暂时按照普通（非活动）漏洞处理；

iii)直接泄露个人（非经纪人）发布的二手房、商铺、厂房、仓库房源手机号（不含租房）

获取到的手机号可以是文本或图片；图片或ascii图画必须明显为人眼可识别的有效电话；加密文本必须证明可解密；

如果能通过技术手段（不得拨打中间号电话或其他方式联系用户）能够将中间号转化为真实手机号，也认定为泄露真实电话号码；

若实际是通过房源找到userid、用户名、邮箱等，并使用其他接口查询到用户电话号码（非房源帖子中的电话号码）的，不单独认定为本漏洞，改认定为提交了一个“泄露指定用户的电话号码“类漏洞；

2)泄露指定用户的电话号码

i)通过指定userid、店铺id、企业id、用户名、邮箱、企业名称等方式，直接获取到真实电话号码；

ii)暂不接收通过xss、json hijack等方式获取不特定、不稳定用户的电话号码；如提交此两类漏洞，暂时按照普通（非活动）漏洞处理；

3)提交报告内容

i)验证可行的截图及有效case

ii)存在问题的接口/人/渠道

iii)发现问题的方式

（3）免费无限次刷新帖子
单个免费账号在单一城市发布的房产类帖子，单日可实现有效刷新20次（含）以上。

具体要求：

1) 仅限二手房、租房、商业地产类别的帖子；

2)单一城市定义：一级城市，如北京、武汉等；不认可二级或以上城市，如朝阳区，酒仙桥地区;

3)原则上不认可“删掉帖子重新再发一次”形式的刷新，如需要提交，先与审核人员联系确认；

4)若刷新次数不能达到20次，但是相差不多，先与审核人员联系确认；

5)提交报告内容

i)实现了刷新的帖子id或账号id或账号绑定手机号；

ii)具体利用方式说明

4、伪造安选房源

待测试流程：

使用提供的测试账号（另行公布）登录后发布房源，房源本身处于非“安选”状态。通过上传房屋内部视频等方式，通过核验后，帖子正文会出现“安选”字样。

测试要求：

使用任何技术、社工手段（不包括使用真实证件、视频等通过核验），达成使房源处于“安选”状态，即视作攻击成功。

提交报告内容：

1) 实现绕过核真流程的帖子id号或房源号，至少2个

2) 具体利用方式说明

其他：

经验证确认，使用不同的渠道、手法绕过安选核验，但是经过核实原理相同的非技术手段绕过房源核真的报告，视作同源；同源报告依次做奖励降级减半处理，但是最多只接受3个同源报告。即，第1、2、3、4、5个相同原理的报告，分别能拿到100%，50%，25%，12.5%，0%的奖励。若同一人故意利用本规则刷奖励，则活动内所有已发放的奖励一并归零处理。

5、其他威胁情报：

（1) 有效情报形式：

1) 提供黑产已进行了前述问题相关攻击的情报，如用于展示已爬取房源的工具、网站、接口、数据库等；

2) 提供具体可以实施前述问题相关攻击的黑产工具、售卖工具的网站、售卖工具的qq或微信联系人等；

（2) 有效情报认定

情报本身需满足前述对应类型报告的审核要求；

（3) 奖励倾斜

1) 若白帽子没有进行有效的情报/工具分析，亦没有其他协助处置的行为，报告奖励将按对应类型及等级的奖励*0.8发放；

2) 若白帽子主动进行了情报/工具分析，且达到“还原了攻击原理、漏洞原理“程度的，将给与奖励金额*1.5至2的奖励倾斜；

（4) 提交报告内容

1) 对应问题类型的报告内容；

2) 其他有效的协助处理、分析的内容（非必要）

6．定级与奖励标准

除非另有说明，一般一份报告只能收到一次性金币奖励，目前所有类型的问题统一按定级给与金币奖励。部分问题类型仅接受部分级别的问题报告，具体请参看下表，若有不明之处，请及时联系运营。

报告的问题类型	中危	高危	严重
批量抓取房源	抓取所利用的接口未接入反抓取系统	24小时内抓取数量>50000条	24小时内抓取数量>450000条
泄露特定场景下的用户真实电话号码	无	获取随机帖子的手机号	获取指定房源帖子的手机号
泄露指定用户的电话号码	另附表
免费无限次刷新帖子	酌定	刷新次数>=20次但是<40次或刷新间隔时长要求大于30分钟	刷新次数>=40次且刷新间隔时长小于30分钟
伪造安选房源	酌定	完全不使用技术手段绕过核真流程	使用技术手段绕过核真流程
其他威胁情报	与对应报告的问题类型一致

泄露用户敏感数据b类的情况相对复杂，具体参看下表。若有不明之处，请及时联系运营。

	泄露真实手机号		泄露中间号
介入因素	等级	备注	等级	备注
userid	高危至严重	视具体利用场景	忽略
店铺id	忽略、中危	视具体利用场景	忽略
身份证号	严重		高危
邮箱	高危至严重	视具体利用场景	中危
公司名称	忽略、中危	视具体利用场景	忽略
用户名/用户昵称	高危至严重	视具体利用场景	忽略、中危	视具体利用场景
其他	酌情评定		酌情评定