公告編号:ISRC安全測試規範作(zuò)者:ISRC*Admin發布日(rì)期:2020/08/10
一、測試規範:
1. 注入漏洞,隻要證明可(kě)以讀(dú)取數據就(jiù)行,嚴禁讀(dú)取表内數據。對于UPDATE、DELETE、INSERT 等注入類型,不允許使用自(zì)動化工(gōng)具進行測試。
2. 越權漏洞,越權讀(dú)取的時候,能讀(dú)取到的真實數據不超過5組,嚴禁進行批量讀(dú)取。
3. 帳号可(kě)注冊的情況下,隻允許用自(zì)己的2個帳号驗證漏洞效果,不要涉及線上正常用戶的帳号,越權增删改,請(qǐng)使用自(zì)己測試帳号進行。帳号不可(kě)注冊的情況下,如(rú)果獲取到該系統的賬密并驗證成功,如(rú)需進一步安全測試,請(qǐng)咨詢管理(lǐ)員(yuán)得(de)到同意後進行測試。
4. 存儲xss漏洞,正确的方法是插入不影(yǐng)響他(tā)人(rén)的測試payload,嚴禁彈窗(chuāng),推薦使用console.log,再通過自(zì)己的另一個帳号進行驗證,提供截圖證明。對于盲打類xss,僅允許外帶domain信息。所有xss測試,測試之後需删除插入數據,如(rú)不能删除,請(qǐng)在漏洞報告中備注插入點。
5. 如(rú)果可(kě)以shell或者命令執行的,推薦上傳一個文本證明,如(rú)純文本的1.php、1.jsp等證明問(wèn)題存在即可(kě),禁止下載和讀(dú)取服務器上任何源代碼文件(jiàn)和敏感文件(jiàn),不要執行删除、寫入命令,如(rú)果是上傳的webshell,請(qǐng)寫明shell文件(jiàn)地址和連接口令。
6. 在測試未限制發送短(duǎn)信或郵件(jiàn)次數等掃号類漏洞,測試成功的數量不超過50個。如(rú)果用戶可(kě)以感知,例如(rú)會給用戶發送登陸提醒短(duǎn)信,則不允許對他(tā)人(rén)真實手機(jī)号進行測試。
7. 如(rú)需要進行具有自(zì)動傳播和擴散能力漏洞的測試(如(rú)社交蠕蟲的測試),隻允許使用和其他(tā)賬号隔離(lí)的小号進行測試。不要使用有社交關系的賬号,防止蠕蟲擴散。
8. 禁止對網站(zhàn)後台和部分(fēn)私密項目使用掃描器。
9. 除特别獲準的情況下,嚴禁與漏洞無關的社工(gōng),嚴禁進行内網滲透。
10. 禁止進行可(kě)能引起業務異常運行的測試,例如(rú):IIS的拒絕服務等可(kě)導緻拒絕服務的漏洞測試以及DDOS攻擊。
11. 請(qǐng)不要對未授權廠(chǎng)商、未分(fēn)配給自(zì)己的項目、超出測試範圍的列表進行漏洞挖掘,可(kě)與管理(lǐ)員(yuán)聯系确認是否屬于資産範圍後進行挖掘,否則未授權的法律風(fēng)險将由漏洞挖掘者自(zì)己承擔。
12. 禁止拖庫、随意大(dà)量增删改他(tā)人(rén)信息,禁止可(kě)對服務穩定性造成影(yǐng)響的掃描、使用漏洞進行黑(hēi)灰産行爲等惡意行爲。
13. 敏感信息的洩漏會對用戶、廠(chǎng)商及上報者都(dōu)産生(shēng)較大(dà)風(fēng)險,禁止保存和傳播和業務相(xiàng)關的敏感數據,包括但(dàn)不限于業務服務器以及Github 等平台洩露的源代碼、運營數據、用戶資料等,若存在不知情的下載行爲,需及時說(shuō)明和删除。
14. 尊重《中華人(rén)民(mín)共和國(guó)網絡安全法》的相(xiàng)關規定。禁止一切以漏洞測試爲借口,利用安全漏洞進行破壞、損害用戶利益的行爲,包括但(dàn)不限于威脅、恐吓SRC要公開漏洞或數據,請(qǐng)不要在任何情況下洩露漏洞測試過程中所獲知的任何信息,漏洞信息對第三方披露請(qǐng)先聯系SRC獲得(de)授權。企業将對違法違規者保留采取進一步法律行動的權利。
二、以下是ISRC針對違反測試規範的處罰措施:
對于以上違規測試的行爲,ISRC将根據實際情況對賬号積分(fēn)/獎勵進行部分(fēn)/全部扣除,并保留追究其法律責任的權利。
三、緻謝
ISRC安全測試規範引用自(zì)《SRC行業安全測試規範》,參與此标準制定的組織:
ASRC、阿裡(lǐ)雲先知、百度SRC、本地生(shēng)活SRC、菜鳥SRC、滴滴SRC、京東SRC、螞蟻金服SRC、美麗聯合SRC 、愛奇藝SRC、360SRC、蘇甯SRC、騰訊SRC、同舟共測-企業安全響應聯盟、VIPKIDSRC、VIVOSRC、完美世界SRC、網易SRC、微博SRC、唯品會SRC、WiFi萬能鑰匙SRC、小米SRC、陌陌SRC。
在此,特别感謝參與此标準制定的各組織與白(bái)帽子,如(rú)本規範有任何侵權,請(qǐng)聯系ISRC工(gōng)作(zuò)人(rén)員(yuán),我們将第一時間處理(lǐ)。