? ? ? ?騰訊SRC、螞蟻金服SRC、ASRC、阿里云先知、百度SRC、本地生活SRC、菜鳥SRC、滴滴SRC、京東SRC、LYSRC、蘑菇街SRC、陌陌SRC、360SRC、蘇寧SRC、同舟共測-企業安全響應聯盟、唯品會SRC、微博SRC、VIPKIDSRC、網易SRC、WiFi萬 能鑰匙SRC、完美世界SRC、小米SRC(排名不分先后)
? ? ? ?感謝以下白帽子對此規范提供的建議和認可:
? ? ? ?hackbar、SToNe、無心、、mmmark、ayound、算命先生、泳少、離兮、lakes、Adam、羽_、小籠包(隨機排名,不分先后)
? ? ? ?一、測試規范:?
? ? ? ?1、注入漏洞,只要證明可以讀取數據即可,嚴禁讀取表內數據,對于UPDATE、DELETE、INSERT 等注入類型,不允許使用自動化工具進行測試。
? ? ? ?2、 越權漏洞,越權讀取的時候,能讀取到的真實數據不超過5組,嚴禁進行批量讀取。
? ? ? ?3、帳號可注冊的情況下,只允許用自己的2個帳號驗證漏洞效果,不要涉及線上正常用戶的帳號,越權增刪改,請使用自己測試帳號進行;帳號不可注冊的情況下,如果獲取到該系統的賬密并驗證成功,如需進一步安全測試,請咨詢管理員得到同意后進行測試。
? ? ? ?4、存儲xss漏洞,正確的方法是插入不影響他人的測試payload,嚴禁彈窗,推薦使用console.log,再通過自己的另一個帳號進行驗證,提供截圖證明。對于盲打類xss,僅允許外帶domain信息。所有xss測試,測試之后需刪除插入數據,如不能刪除,請在漏洞報告中備注插入點。
? ? ? ?5、如果可以shell或者命令執行的,推薦上傳一個文本證明,如純文本的1.php、1.jsp等證明問題存在即可,禁止下載和讀取服務器上任何源代碼文件和敏感文件,不要執行刪除、寫入命令,如果是上傳的webshell,請寫明shell文件地址和連接口令。
? ? ? ?6、在測試未限制發送短信或郵件次數等掃號類漏洞,測試成功的數量不超過50個,如果用戶可以感知,例如會給用戶發送登陸提醒短信,則不允許對他人真實手機號進行測試。
? ? ? ?7、如需要進行具有自動傳播和擴散能力漏洞的測試(如社交蠕蟲的測試),只允許使用和其他賬號隔離的小號進行測試。不要使用有社交關系的賬號,防止蠕蟲擴散。
? ? ? ?8、禁止對網站后臺和部分私密項目使用掃描器。
? ? ? ?9、除特別獲準的情況下,嚴禁與漏洞無關的社工,嚴禁進行內網滲透。
? ? ? ?10、禁止進行可能引起業務異常運行的測試,例如:IIS的拒絕服務等可導致拒絕服務的漏洞測試以及DDOS攻擊。
? ? ? ?11、請不要對未授權廠商、未分配給自己的項目、超出測試范圍的列表進行漏洞挖掘,可與管理員聯系確認是否屬于資產范圍后進行挖掘,否則未授權的法律風險將由漏洞挖掘者自己承擔。
? ? ? ?12、禁止拖庫、隨意大量增刪改他人信息,禁止可對服務穩定性造成影響的掃描、使用將漏洞進行黑灰產行為等惡意行為。
? ? ? ?13、敏感信息的泄漏會對用戶、廠商及上報者都產生較大風險,禁止保存和傳播和業務相關的敏感數據,包括但不限于業務服務器以及Github 等平臺泄露的源代碼、運營數據、用戶資料等,若存在不知情的下載行為,需及時說明和刪除。
? ? ? ?14、尊重《中華人民共和國網絡安全法》的相關規定,禁止一切以漏洞測試為借口,利用安全漏洞進行破壞、損害用戶利益的行為,包括但不限于威脅、恐嚇SRC要公開漏洞或數據,請不要在任何情況下泄露漏洞測試過程中所獲知的任何信息,漏洞信息對第三方披露請先聯系SRC獲得授權。企業將對違法違規者保留采取進一步法律行動的權利。
? ? ? ?以上是南昌APP開發公司百恒科技小編給大家聊到的關于SRC行業安全測試規范,希望能夠對大家有所幫助,想要了解更多關于這方面的內容歡迎留言咨詢百恒科技,百恒科技專注于南昌APP開發、南昌網站建設開發16年!
相關文章推薦? ?:? ? ? linux服務器時間校準的方法? ? ?
? ? ? ? ? ? ? ? ? 關于ThinkPHP開發框架遠程代碼執行漏洞的通告? ? ?