? ? ? ?騰訊SRC、螞蟻金服SRC、ASRC、阿里云先知、百度SRC、本地生活SRC、菜鳥SRC、滴滴SRC、京東SRC、LYSRC、蘑菇街SRC、陌陌SRC、360SRC、蘇寧SRC、同舟共測-企業(yè)安全響應(yīng)聯(lián)盟、唯品會(huì)SRC、微博SRC、VIPKIDSRC、網(wǎng)易SRC、WiFi萬 能鑰匙SRC、完美世界SRC、小米SRC(排名不分先后)
? ? ? ?感謝以下白帽子對(duì)此規(guī)范提供的建議和認(rèn)可:
? ? ? ?hackbar、SToNe、無心、、mmmark、ayound、算命先生、泳少、離兮、lakes、Adam、羽_、小籠包(隨機(jī)排名,不分先后)
? ? ? ?一、測試規(guī)范:?
? ? ? ?1、注入漏洞,只要證明可以讀取數(shù)據(jù)即可,嚴(yán)禁讀取表內(nèi)數(shù)據(jù),對(duì)于UPDATE、DELETE、INSERT 等注入類型,不允許使用自動(dòng)化工具進(jìn)行測試。
? ? ? ?2、 越權(quán)漏洞,越權(quán)讀取的時(shí)候,能讀取到的真實(shí)數(shù)據(jù)不超過5組,嚴(yán)禁進(jìn)行批量讀取。
? ? ? ?3、帳號(hào)可注冊(cè)的情況下,只允許用自己的2個(gè)帳號(hào)驗(yàn)證漏洞效果,不要涉及線上正常用戶的帳號(hào),越權(quán)增刪改,請(qǐng)使用自己測試帳號(hào)進(jìn)行;帳號(hào)不可注冊(cè)的情況下,如果獲取到該系統(tǒng)的賬密并驗(yàn)證成功,如需進(jìn)一步安全測試,請(qǐng)咨詢管理員得到同意后進(jìn)行測試。
? ? ? ?4、存儲(chǔ)xss漏洞,正確的方法是插入不影響他人的測試payload,嚴(yán)禁彈窗,推薦使用console.log,再通過自己的另一個(gè)帳號(hào)進(jìn)行驗(yàn)證,提供截圖證明。對(duì)于盲打類xss,僅允許外帶domain信息。所有xss測試,測試之后需刪除插入數(shù)據(jù),如不能刪除,請(qǐng)?jiān)诼┒磮?bào)告中備注插入點(diǎn)。
? ? ? ?5、如果可以shell或者命令執(zhí)行的,推薦上傳一個(gè)文本證明,如純文本的1.php、1.jsp等證明問題存在即可,禁止下載和讀取服務(wù)器上任何源代碼文件和敏感文件,不要執(zhí)行刪除、寫入命令,如果是上傳的webshell,請(qǐng)寫明shell文件地址和連接口令。
? ? ? ?6、在測試未限制發(fā)送短信或郵件次數(shù)等掃號(hào)類漏洞,測試成功的數(shù)量不超過50個(gè),如果用戶可以感知,例如會(huì)給用戶發(fā)送登陸提醒短信,則不允許對(duì)他人真實(shí)手機(jī)號(hào)進(jìn)行測試。
? ? ? ?7、如需要進(jìn)行具有自動(dòng)傳播和擴(kuò)散能力漏洞的測試(如社交蠕蟲的測試),只允許使用和其他賬號(hào)隔離的小號(hào)進(jìn)行測試。不要使用有社交關(guān)系的賬號(hào),防止蠕蟲擴(kuò)散。
? ? ? ?8、禁止對(duì)網(wǎng)站后臺(tái)和部分私密項(xiàng)目使用掃描器。
? ? ? ?9、除特別獲準(zhǔn)的情況下,嚴(yán)禁與漏洞無關(guān)的社工,嚴(yán)禁進(jìn)行內(nèi)網(wǎng)滲透。
? ? ? ?10、禁止進(jìn)行可能引起業(yè)務(wù)異常運(yùn)行的測試,例如:IIS的拒絕服務(wù)等可導(dǎo)致拒絕服務(wù)的漏洞測試以及DDOS攻擊。
? ? ? ?11、請(qǐng)不要對(duì)未授權(quán)廠商、未分配給自己的項(xiàng)目、超出測試范圍的列表進(jìn)行漏洞挖掘,可與管理員聯(lián)系確認(rèn)是否屬于資產(chǎn)范圍后進(jìn)行挖掘,否則未授權(quán)的法律風(fēng)險(xiǎn)將由漏洞挖掘者自己承擔(dān)。
? ? ? ?12、禁止拖庫、隨意大量增刪改他人信息,禁止可對(duì)服務(wù)穩(wěn)定性造成影響的掃描、使用將漏洞進(jìn)行黑灰產(chǎn)行為等惡意行為。
? ? ? ?13、敏感信息的泄漏會(huì)對(duì)用戶、廠商及上報(bào)者都產(chǎn)生較大風(fēng)險(xiǎn),禁止保存和傳播和業(yè)務(wù)相關(guān)的敏感數(shù)據(jù),包括但不限于業(yè)務(wù)服務(wù)器以及Github 等平臺(tái)泄露的源代碼、運(yùn)營數(shù)據(jù)、用戶資料等,若存在不知情的下載行為,需及時(shí)說明和刪除。
? ? ? ?14、尊重《中華人民共和國網(wǎng)絡(luò)安全法》的相關(guān)規(guī)定,禁止一切以漏洞測試為借口,利用安全漏洞進(jìn)行破壞、損害用戶利益的行為,包括但不限于威脅、恐嚇SRC要公開漏洞或數(shù)據(jù),請(qǐng)不要在任何情況下泄露漏洞測試過程中所獲知的任何信息,漏洞信息對(duì)第三方披露請(qǐng)先聯(lián)系SRC獲得授權(quán)。企業(yè)將對(duì)違法違規(guī)者保留采取進(jìn)一步法律行動(dòng)的權(quán)利。
? ? ? ?以上是南昌APP開發(fā)公司百恒科技小編給大家聊到的關(guān)于SRC行業(yè)安全測試規(guī)范,希望能夠?qū)Υ蠹矣兴鶐椭?,想要了解更多關(guān)于這方面的內(nèi)容歡迎留言咨詢百恒科技,百恒科技專注于南昌APP開發(fā)、南昌網(wǎng)站建設(shè)開發(fā)16年!
相關(guān)文章推薦? ?:? ? ? linux服務(wù)器時(shí)間校準(zhǔn)的方法? ? ?
? ? ? ? ? ? ? ? ? 關(guān)于ThinkPHP開發(fā)框架遠(yuǎn)程代碼執(zhí)行漏洞的通告? ? ?