公告
北京教育行业SRC平台
白帽行为管理办法
白帽行为管理办法指对参与漏洞发现和报告的安全研究人员(也称为白帽子)进行管理和规范的方法。旨在鼓励和支持白帽子的合法和负责任的行为,同时维护组织、用户和公众的利益并建立一个安全、合规和互信的漏洞报告生态系统,促进白帽子的积极参与。
一、测试规范
1、仅可针对本平台授权范围开展安全测试,同时,安全测试需要遵守《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及相关法律法规的规定,采取合法、正当的方式,不得侵犯任何第三方合法权益。
2、 不得利用计算机病毒、网络攻击、网络侵入、干扰网络正常功能、窃取网络数据等危害网络安全行为的技术措施(包括但不限于程序、工具)开展安全测试,如上传恶意文件及木马、增删改其他用户个人数据、添加后门账号/权限、扫描攻击内网等渗透行为,不得对国家安全、国计民生、公共利益的关键信息基础设施产生任何危害。
3、 在开展安全测试时不得窃取或者以其他非法方式获取任何业务系统或者其他第三方的商业信息(包括但不限于源代码、运营数据、用户资料等)、个人信息,不得非法出售或者非法向他人提供测试获取的商业信息、个人信息等。
4、 未经授权,不得向任何第三方公开漏洞或提供任何与平台有关的安全情报。
5、注入漏洞只要证明可以读取数据就行,严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。
6、越权漏洞在越权读取的时候,能读取到的真实数据不得超过10组,严禁进行批量读取。
7、在实现非授权访问或用户权限越权,完成非授权逻辑、越权逻辑验证时,禁止获取和留存用户信息和信息系统文件信息。
8、不接受任何形式向内部工作人员借用账号进行测试;禁止通过社会工程学、钓鱼等方式获取SRC平台的产品服务信息或内部账号进行尝试;如通过漏洞获取内部权限,应优先提交权限提升漏洞,未经授权禁止使用内部账号进行测试。
9、对于存储xss漏洞,正确的方法是插入不影响他人的测试payload,严禁弹窗,推荐使用console.log,再通过自己的另一个帐号进行验证,提供截图证明。对于盲打类xss,仅允许外带domain信息。所有xss测试,测试之后需删除插入数据,如不能删除,请在漏洞报告中备注插入点。
10、禁止下载和读取服务器上任何源代码文件和敏感文件,禁止执行删除、写入命令。
11、在测试未限制发送短信或邮件次数等扫号类漏洞,测试成功的数量不超过50个。如果用户可以感知,例如会给用户发送登陆提醒短信,则不允许对他人真实手机号进行测试。
12、如需要进行具有自动传播和扩散能力漏洞的测试(如社交蠕虫的测试),只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号,防止蠕虫扩散。
13、除特别获准的情况下,严禁与漏洞无关的社工,严禁进行内网渗透。
14、禁止进行可能引起业务异常运行的测试,例如:IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。
15、请不要对超出测试范围的列表进行漏洞挖掘,可与技术组联系确认是否属于资产范围后进行挖掘,否则未授权的法律风险将由漏洞挖掘者自己承担。
16、禁止拖库、随意大量增删改他人信息,禁止可对服务稳定性造成影响的扫描、使用漏洞进行黑灰产行为等恶意行为。
17、敏感信息的泄漏会对用户、厂商及上报者都产生较大风险,禁止保存和传播和业务相关的敏感数据,包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除。
18、尊重《中华人民共和国网络安全法》的相关规定。禁止一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的行为,包括但不限于威胁、恐吓SRC平台要公开漏洞或数据,请不要在任何情况下泄露漏洞测试过程中所获知的任何信息内容,漏洞信息对第三方披露请先联系SRC平台获得授权。企业将对违法违规者保留采取进一步法律行动的权利。
二、本平台针对违反以上测试规范的做出以下处罚规则
1.对于恶意拆分为多个漏洞干扰审核的行为,平台有权降级处理对应漏洞。
2.对于干扰业务的违规测试行为,包括但不限于以上“测试规范”内容,初次违反测试规定处警告处理,并进行全平台通报;二次违规漏洞降级处理,并全平台通报;若违规次数达到三次(包括三次),将取消在本平台的白帽子资格并取消该漏洞所获得的奖励并全站通报;
3.测试读取到的真实数据超过500条,白帽子须接受违规处理,并与平台签署保密协议,协助删除获取数据,平台将保留法律追责权利。
4.漏洞归属权为本平台,对于未征求本平台正式同意的情况下,私自公开漏洞内容的白帽子将取消漏洞奖励,并且,本平台将保留法律追责权利;
5.若因为白帽子不遵守以上规定进行相关异常操作造成的账号被封问题,本平台不协助找回账号。同时,原有账户中的积分奖励本平台不协助另行补发。
6.禁止公开在平台提交的漏洞详情及漏洞相关的任何细节,违反规定者平台将根据情况扣除奖励,对于情节严重者做封号处理,由此造成的任何损失及其法律责任均由白帽子个人承担。
7.若您违反“测试规范”第18条规定的内容,包括但不限于未经允许擅自将漏洞测试等内容发布于社交网络平台等,将取消该漏洞所获得的奖励;若因此给平台造成损失的,平台将保留追究赔偿及法律责任的权利;如若构成犯罪的,本平台将依法移交主管部门。
三、禁止行为
1. 平台十分重视白帽子群体健康发展,白帽子在使用SRC平台的相关服务时,必须遵守中华人民共和国相关法律法规的规定,白帽子应同意将不会利用本平台进行任何违法或不正当的活动,并应承诺不得从事以下行为(包括但不限于下列条款内容)∶
(1)发布、传送、传播、储存违反国家法律、危害国家安全统一、社会稳定、公序良俗、社会公德以及侮辱、诽谤、淫秽、暴力的内容;
(2)发布、传送、传播、储存侵害他人名誉权、肖像权、知识产权、商业秘密等合法权利的内容;
(3)虚构事实、隐瞒真相以误导、欺骗他人;
(4)发表、传送、传播广告信息及垃圾信息;
(5)以测试为借口,利用漏洞进行破坏、损害用户利益的行为,包括但不限于利用漏洞盗取用户资料、隐私及虚拟财产;
(6)利用漏洞攻击平台的系统,造成系统宕机或者失效;
(7)利用漏洞或者在测试过程中置公众安全于不顾,严重影响飞行安全或者公开空域安全的行为;
(8)利用安全漏洞实施恐吓、敲诈或恶意夸大漏洞影响,引起公众恐慌;
(9)有害或者结果不可控的安全测试行为;
(10)不负责任的漏洞披露、恶意传播漏洞;
(11)未妥善保管漏洞测试过程中的数据,导致平台蒙受损失;
(12)从事其他违反法律法规、政策及公序良俗、社会公德等的行为。
2. 除非法律允许或平台书面许可,不得从事下列行为:
(1)删除平台网站上关于著作权的信息;
(2)对本项目进行反向工程、反向汇编、反向编译,或者以其他方式尝试发现的源代码;
(3)对平台拥有知识产权的内容进行使用、出租、出借、复制、修改、链接、转载、汇编、发表、出版、建立镜像站点等;
(4)对本项目运行所必需的系统数据,进行复制、修改、增加、删除、挂接运行或创作任何衍生作品,形式包括但不限于使用插件、外挂或非平台授权的第三方工具/服务接入;
(5)通过修改或伪造本项目运行中的指令、数据,增加、删减、变动软件的功能或运行效果,或者将用于上述用途的软件、方法进行运营或向公众传播,无论这些行为是否为商业目的;
(6)自行、授权他人或利用第三方软件对本项目的组件、模块、数据等进行干扰;
(7)在漏洞测试过程中下载平台的代码和数据;
(8)其他违反法律法规规定、侵犯其他用户合法权益、干扰平台正常运营或未经授权、许可或违反本协议及相关协议、规则的行为。
四、对自己行为负责
白帽子充分了解并同意,必须为自己注册帐号下的一切行为负责。应对加入本项目时接触到的内容自行加以判断,并承担因使用内容而引起的所有风险,包括因对内容的正确性、完整性或实用性的依赖而产生的风险。平台无法且不会对白帽子因前述风险而导致的任何损失或损害承担责任。
违约处理:
如果平台发现或收到他人举报白帽子有违反本协议约定的,平台有权不经通知随时对相关内容进行删除、屏蔽,并采取包括但不限于暂停、中止、终止参与本平台活动、封号处理、追究法律责任等措施。
对第三方损害的处理:
违反本协议约定,导致任何第三方损害或索赔的,造成的任何损失及其法律责任均由白帽子个人承担。平台将保留依法追究赔偿及法律责任的权利。
五、争议解决办法
在漏洞报告处理过程中,如果报告者对漏洞处理流程、漏洞评定、漏洞评分等有异议的,可联系平台技术组人员。平台将根据反馈重新商定结果做调整。安全中心将根据漏洞报告者利益优先的原则进行处理,必要时可引入专家组共同裁定。
公安备案号: