文章总结： 滴滴安全应急响应中心于2026年4月15日至24日开展国际化金融业务专项漏洞提交活动，参与者通过DSRC官网提交金融相关业务漏洞并备注金融专项可获得最高3.5倍积分奖励。活动涵盖didipay.com等金融资产域名，针对业务逻辑绕过、越权访问、API漏洞等特定类型漏洞提供额外加分，同时明确禁止内网渗透、数据下载等测试边界。 综合评分： 85 文章分类： SRC活动,漏洞分析,WEB安全,渗透测试,安全运营

DSRC活动 | 国际化金融业务专项

滴滴安全应急响应中心

2026年4月15日 09:01 北京

在小说阅读器读本章

去阅读

国际化金融业务专项活动来袭

参加活动最高可获得3.5倍积分奖励！

2026.04.15 – 2026.04.24期间

在DSRC官网 (sec.didichuxing.com)

提交活动范围内漏洞并备注【金融专项】

即可参加活动

滴滴国际化金融相关业务

参考域名：

   · didiglobal.com

   · didipay.com

   · api99pay.com

   · 99pay.com.br

   · bepay.com

   · bepay.com.br

   ··· ···

注：以上域名仅限归属金融的资产参与活动。

活动范围内，严重/高危漏洞3倍积分，中危漏洞2倍积分；

以下特定类型漏洞可获得额外0.5倍积分奖励：

-> 业务逻辑与资金安全漏洞

    eg：支付与业务流程的绕过等；

-> 越权访问与敏感数据泄露

    eg：水平越权、垂直越权、未授权等；

-> 身份认证与会话管理漏洞

    eg：验证码/密码绕过、Session/Token 伪造与劫持等；

-> 能够穿透内网的高危Web漏洞

    eg：远程命令/代码执行、SQL注入、服务端请求伪造等；

-> API与移动端特有漏洞

    eg：移动端组件安全等。

1、未经DSRC授权，您不得向任何第三方公开漏洞或提供任何与滴滴产品有关的安全情报。如发现相关情形，DSRC有权收回您因该漏洞获得的全部DSRC奖励及福利。

2、测试过程不得损害业务正常运行，不得以测试漏洞借口尝试利用漏洞损害用户利益，影响真实用户的使用。

3、禁止下载和业务相关的敏感数据，包括但不限于源代码、运营数据、用户资料等，若存在不知情的下载行为，需及时与DSRC联系，进行报备说明和删除。

4、禁止内网渗透行为，包括但不限于利用 SSRF 或其他漏洞扫描内网、尝试系统提权等行为。

5、禁止进行网络拒绝服务攻击，包括但不限于 DoS、 DDos、CC 或其他明确在尝试前可知会影响服务稳定性的拒绝服务攻击。

6、测试越权尝试或其他可能影响用户数据的操作时，需尽可能将尝试控制在自己创建的多个账号生成的内容中，不得影响到线上业务中其他用户的正常数据。

7、活动期间，同一系统只收取前三个接口产生的同类型漏洞，第三个之后的漏洞忽略处理；

8、为提高审核效率，请按照漏洞标准正确勾选等级；

9、滴滴出行安全应急响应中心在法律允许范围内拥有对本活动评判标准和规则的解释权与修改权。

转发本推文至朋友圈

即可参与抽奖

注：兑奖时需保留朋友圈

提前删除/补转发无法兑奖

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：滴滴安全应急响应中心 《DSRC活动 | 国际化金融业务专项》