活动｜房产定向众测活动

活动地址：https://security.58.com/vul/submit/?pts=1604399080671

活动简介：

房产定向众测活动

活动时间：

11月1日-30日

活动地点：

https://security.58.com/vul/submit/?pts=1604399080671

主办方：

58安全应急响应中心

活动详情：

一．测试范围

1、.58.com
2、.anjuke.com

二．活动时间

漏洞提交时间：11月1日~11月30日

三．活动奖励

1、以漏洞实际等级为基本依据，根据报告质量和漏洞类型有浮动。

本次活动仅奖励金币，不奖励rank积分，不算排名儿。

1）严重漏洞奖励基准：7000￥
2）高危漏洞奖励基准：3500￥
3）中危漏洞奖励基准：800￥
4）低危漏洞奖励基准：200￥

2、凡提交有效漏洞者，均赠送天鹅到家100元优惠劵一张。

四．漏洞提交说明

1、漏洞提交地址：58SRC官网（https://security.58.com）；
2、提交名称格式为（众测3-漏洞名称）, 如提交漏洞格式不符合，此漏洞将不参与众测奖励。不在众测范围内的漏洞请勿添加众测标题。
3、本次定向测试所提交的漏洞不参与月度、季度奖励评比；并且，不与其他活动奖励同享。
4、58SRC对本次活动相关规则保留最终解释权。

五、众测规则及奖励

1、测试目标：

发现已经存在或潜在的如下类型漏洞、风险或情报

批量抓取小区、二手房房源、租房房源或商铺、厂房、仓库信息；
泄露用户敏感数据；
免费无限次刷新帖子；
绕过房源核真；
能够或已经实施前所述行为的黑产情报、黑产工具/代码；

2、漏洞有效性认定：

完全满足下列任意1条，即可认定为有效漏洞、风险、情报或攻击。如果存在单条漏洞、风险、情报或攻击符合多条标准的，按定级较高的进行认定。抓取类漏洞需要结合“定级标准”中的数量进行有效性认定。

（1）批量抓取房源漏洞或风险：

1) 抓取方式：

i) 使用任意固定IP进行抓取；
ii) 不认可重新拨号更换IP、使用代理服务器、vpn等非实质技术性IP欺骗；但是认可通过伪造xff头、伪造IPv6地址、伪造IP头或利用网络、应用层协议漏洞、流程等进行IP伪装等方式进行的实质技术性IP欺骗；
iii)  抓取量级必须能够达到定级中相应级别的标准；
若任意级别的抓取量级都无法达到，即使抓取行为真实存在、可操作，也不认定为有效漏洞或风险；即，仅认定定级标准中存在抓取量级范围的漏洞或风险为有效报告；
iv) 爬取时间长度需要短于定级标准中的时间

2) 有效房源信息：

i) 下述小区信息、房源信息、户室号，均认定为有效信息：
小区信息：至少能抓取到小区id、地址、坐标、年代、均价5个信息；若信息少于5个但是明显存在被爬取的漏洞或风险，审核人员有权根据实际影响酌情认定；
二手房房源信息、租房、厂房、仓库：必须为个人（非经纪人）房源；从帖子id、小区或房源地址、价格、楼层、户型、面积、房源动态这几个维度中，能抓到到帖子id+帖子id以外至少4个维度的信息；
户室号：至少能抓取到住宅小区的id或名称、楼栋号、单元号、房号、房间数量、客厅数量。商业办公、厂房、仓库等类不属于认定范围。
ii)  若抓取到的信息格式为图片，需要图片本身能够人眼识别出有效信息
iii) 若抓取到的信息格式为加密后的文本，需要证明加密文本能够被解密
iv)   小区与房屋的内景、外景、装修、看房的视频、图片不认定为有效的抓取信息；
v)    经纪人带看反馈、用户评论与反馈不认定为针对有效的抓取信息；
vi)   若抓取的信息由多种信息共同构成，仅认定爬取数量最大的一类信息；若需要按数量较少的类型进行认定，请在报告中留言说明；

3) 暂不接收通过xss、json hijack等方式抓取不特定来访用户所发布房源信息，如有提交，按照普通（非活动）漏洞处理；

4) 提交报告内容

i) 抓取到的房源信息
ii)用于抓取的代码
iii) 抓取所使用的IP（非必要，但是会加快审核速度）

（2）泄露用户敏感数据

由58提供中转通话，以保护通话双方的真实电话号码不会相互泄露。此类被拨打的号码称为中间号。

下文所指的userid、店铺id，均指58主站及安居客的userid及该userid关联的店铺id；不包括赶集、中华英才、58同镇、转转等可以使用58账号关联登录的其他账号体系的userid、店铺id。

1) 泄露特定场景下的用户真实电话号码
i) 不认可用户通过头像、个人简介、帖子正文、地址、聊天等方式暴露的真实电话号码；
ii)暂不接收通过xss、json hijack等方式获取不特定来访用户的电话号码；如提交此两类漏洞，暂时按照普通（非活动）漏洞处理；
iii)直接泄露个人（非经纪人）发布的二手房、商铺、厂房、仓库房源手机号（不含租房）

获取到的手机号可以是文本或图片；图片或ascii图画必须明显为人眼可识别的有效电话；加密文本必须证明可解密；

如果能通过技术手段（不得拨打中间号电话或其他方式联系用户）能够将中间号转化为真实手机号，也认定为泄露真实电话号码；

若实际是通过房源找到userid、用户名、邮箱等，并使用其他接口查询到用户电话号码（非房源帖子中的电话号码）的，不单独认定为本漏洞，改认定为提交了一个“泄露指定用户的电话号码“类漏洞；

2)泄露指定用户的电话号码

i)通过指定userid、店铺id、企业id、用户名、邮箱、企业名称等方式，直接获取到真实电话号码；
ii)暂不接收通过xss、json hijack等方式获取不特定、不稳定用户的电话号码；如提交此两类漏洞，暂时按照普通（非活动）漏洞处理；

3)提交报告内容

i)验证可行的截图及有效case
ii)存在问题的接口/人/渠道
iii)发现问题的方式

（3）免费无限次刷新帖子

单个免费账号在单一城市发布的房产类帖子，单日可实现有效刷新20次（含）以上。

具体要求：

1) 仅限二手房、租房、商业地产类别的帖子；

2)单一城市定义：一级城市，如北京、武汉等；不认可二级或以上城市，如朝阳区，酒仙桥地区;

3)原则上不认可“删掉帖子重新再发一次”形式的刷新，如需要提交，先与审核人员联系确认；

4)若刷新次数不能达到20次，但是相差不多，先与审核人员联系确认；

5)提交报告内容

i)实现了刷新的帖子id或账号id或账号绑定手机号；
ii)具体利用方式说明

4、伪造安选房源

待测试流程：

使用提供的测试账号（另行公布）登录后发布房源，房源本身处于非“安选”状态。通过上传房屋内部视频等方式，通过核验后，帖子正文会出现“安选”字样。

测试要求：

使用任何技术、社工手段（不包括使用真实证件、视频等通过核验），达成使房源处于“安选”状态，即视作攻击成功。

提交报告内容：

1) 实现绕过核真流程的帖子id号或房源号，至少2个
2) 具体利用方式说明

其他：

经验证确认，使用不同的渠道、手法绕过安选核验，但是经过核实原理相同的非技术手段绕过房源核真的报告，视作同源；同源报告依次做奖励降级减半处理，但是最多只接受3个同源报告。即，第1、2、3、4、5个相同原理的报告，分别能拿到100%，50%，25%，12.5%，0%的奖励。若同一人故意利用本规则刷奖励，则活动内所有已发放的奖励一并归零处理。

5、其他威胁情报：

（1) 有效情报形式：

1) 提供黑产已进行了前述问题相关攻击的情报，如用于展示已爬取房源的工具、网站、接口、数据库等；
2) 提供具体可以实施前述问题相关攻击的黑产工具、售卖工具的网站、售卖工具的qq或微信联系人等；

（2) 有效情报认定

情报本身需满足前述对应类型报告的审核要求；

（3) 奖励倾斜

1) 若白帽子没有进行有效的情报/工具分析，亦没有其他协助处置的行为，报告奖励将按对应类型及等级的奖励*0.8发放；
2) 若白帽子主动进行了情报/工具分析，且达到“还原了攻击原理、漏洞原理“程度的，将给与奖励金额*1.5至2的奖励倾斜；

（4) 提交报告内容

1) 对应问题类型的报告内容；
2) 其他有效的协助处理、分析的内容（非必要）

6．定级与奖励标准

除非另有说明，一般一份报告只能收到一次性金币奖励，目前所有类型的问题统一按定级给与金币奖励。部分问题类型仅接受部分级别的问题报告，具体请参看下表，若有不明之处，请及时联系运营。

泄露用户敏感数据b类的情况相对复杂，具体参看下表。若有不明之处，请及时联系运营。