loader

白帽测试行为规范

  • Home
  • 白帽测试行为规范

白帽测试行为规范细则

  •   December 19, 2019
  •   狗尾巴草 TJSRC
  •   04 comments

        同程金服安全响应平台(TJSRC)为致力于维护互联网健康生态环境,保障公司产品和业务线的信息安全,促进与安全专家的合作与交流,而建立的漏洞收集及应急响应平台。白帽子小伙伴们在测试发现以及提交漏洞时应遵守《白帽测试行为规范》。
         为加强平台注册白帽子身份界定,建立白帽子认证和管理机制,白帽子注册提交漏洞时必须通过认证并且确保认证信息的真实性和可靠性。
         白帽子小伙伴们在测试同程金服的相关业务系统时,必须遵守中华人民共和国相关法律法规的规定,应同意将不会利用发现的安全漏洞进行任何违法或不正当的活动,并应承诺遵守下列条款(包括但不限于下列条款内容)∶

第一条 为加强白帽子漏洞提交规范,TJSRC平台禁止以下行为:
         1) 禁止在平台提交虚假漏洞信息,一经发现并证实后,我们将根据情况扣除其金币及荣誉值,情节严重者做封号处理;
         2) 禁止将提交至TJSRC平台的漏洞透漏给其他的第三方,透露给第三方造成的任何损失均由白帽子个人承担,违反规定者我们将根据情况扣除其金币及荣誉值,情节严重者将追究法律责任;
         3) 禁止公开未经修复的漏洞信息详情及漏洞相关的任何细节,避免给同程金服带来商业利益、商业信誉的损失,违反规定者我们将根据情况扣除信誉值,情节严重者将追究法律责任。

第二条 白帽子在漏洞风险发现与技术验证过程中必须注意以下行为 :
         1) 白帽子在漏洞风险发现与技术验证过程中必须要保证研究漏洞的方法、方式、工具及手段的合法性;
         2) 在漏洞挖掘时实现非授权访问或用户权限越权,在完成非授权逻辑、越权逻辑验证时,不应再获取和留存用户信息和信息系统文件信息;
         3) 在漏洞挖掘时可执行数据库查询条件,获得数据库实例、库表名称等信息证明时,不应再查询 涉及个人信息、业务信息的详细数据;
         4) 在漏洞挖掘时获得系统主机、设备高权限,在获得当前用户系统环境信息证明时,不应再获取其他用户数据和业务数据信息。
         5) 在漏洞挖掘时禁止利用当前主机或设备作为跳板,对目标网络内部区域进行扫描测试。
         6) 在漏洞挖掘时应充分估计目标网络、系统的安全冗余,不应进行有可能导致目标网络、主机、设备瘫痪的大流量、大规模扫描;
         7) 在漏洞挖掘时禁止执行可导致本地、远程拒绝服务危害的技术验证用例;
         8) 在漏洞挖掘时禁止执行有可能导致整体业务逻辑扰动、有可能产生用户经济财产损失的技术验证用例;
         9) 在漏洞挖掘时获得信息系统后台功能操作权限,获得当前用户角色属性证明时,不应再利用系统功能实施编辑、增删、篡改等操作;
         10) 在漏洞挖掘时获得系统主机、设备、数据库高权限,获得当前系统环境信息证明时,不应再执行文件、程序、数据的编辑、增删、篡改等操作。
         11) 在漏洞挖掘时信息系统上传可解析、可执行文件,在获得解析和执行权限逻辑证明时,不应驻留带有控制性目的程序、代码。

第三条 不得为任何非法目的而使用TJSRC平台及平台提供的相关信息:
         1) 不得利用TJSRC平台进行任何可能对厂商、互联网或移动网正常运转造成不利影响的行为;
         2) 不得利用TJSRC平台提供的网络服务上传、展示或传播任何虚假的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、庸俗淫秽的或其他任何非法的信息资料;
         3) 不得侵犯其他任何第三方的专利权、著作权、商标权、名誉权或其他任何合法权益;
         4) 不得进行任何不利于TJSRC平台的行为;

第四条 禁止上载、展示、张贴、传播或以其它方式传送含有下列内容之一的信息 :
         1) 反对宪法所确定的基本原则的;
         2) 危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
         3) 损害国家荣誉和利益的;
         4) 煽动民族仇恨、民族歧视、破坏民族团结的;
         5) 破坏国家宗教政策,宣扬邪教和封建迷信的;
         6) 散布谣言,扰乱社会秩序,破坏社会稳定的;
         7) 散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
         8) 侮辱或者诽谤他人,侵害他人合法权利的;
         9) 含有虚假、有害、胁迫、侵害他人隐私、骚扰、侵害、中伤、粗俗、猥亵、或其它道德上令人反感的内容;
         10) 含有中国法律、法规、规章、条例以及任何具有法律效力之规范所限制或禁止的其它内容的;

         第五条 不利用安全漏洞服务和网站相关信息从事以下活动 :
         1) 未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
         2) 未经允许,对计算机信息网络功能进行删除、修改或者增加的;
         3) 未经允许,对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
         4) 故意制作、传播计算机病毒等破坏性程序的;
         5) 其他危害计算机信息网络安全的行为。
        

Copyright © 2019 ~ 2020.     Company 同程金服 | TJSRC All rights reserved.    网站备案:沪ICP备18030679号-2      技术支持:TSRC