公告编号：FSRC-2020-01

公告日期：2020-03-05

各位白帽，FSRC非常感谢您对焦点安全的关注及帮助。为了避免可能存在的法律风险，我们综合项目组需求、白帽子常规测试内容及《中华人民共和国网络安全法》，制定FSRC安全测试红线，希望各位白帽遵守测试规范，避免触犯相关红线。

数据获取类：

1、注入漏洞，只要证明可读取数据数据，严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型，不允许使用自动化工具进行测试。 

2、越权漏洞，越权读取的时候，能读取到的真实数据不超过5组，严禁进行批量读取。 

3、存储xss漏洞，正确的方法是插入不影响他人的测试payload，严禁弹窗，推荐使用console.log，再通过自己的另一个帐号进行验证，提供截图证明。对于盲打类xss，仅允许外带domain信息。所有xss测试，测试之后需删除插入数据，如不能删除，请在漏洞报告中备注插入点。 

4、敏感信息的泄漏会对用户、厂商及上报者都产生较大风险，禁止保存和传播和业务相关的敏感数据，包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料等，若存在不知情的下载行为，需及时说明和删除。 

业务运行类：

1、禁止进行可能引起业务异常甚至中断运行的测试，例如：IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。 

2、禁止对网站后台和部分私密项目使用扫描器。 

3、如果可以shell或者命令执行的，推荐上传一个文本证明，如纯文本的1.php、1.jsp等证明问题存在即可，禁止下载和读取服务器上任何源代码文件和敏感文件，不要执行删除、写入命令，如果是上传的webshell，请写明shell文件地址和连接口令。 

用户交互类：

1、 帐号可注册的情况下，只允许用自己的2个帐号验证漏洞效果，不要涉及线上正常用户的帐号，越权增删改，请使用自己测试帐号进行。 

2、帐号不可注册的情况下，如果获取到该系统的账密并验证成功，如需进一步安全测试，请咨询管理员得到同意后进行测试。 

3、严禁做影响到了其他用户正常使用的测试，以免引起投诉等不良反馈。

4、在测试未限制发送短信或邮件次数等扫号类漏洞，测试成功的数量不超过50个。如果用户可以感知，如发送密码修改短信等，则不允许对他人真实手机号进行测试。

5、如需要进行具有自动传播和扩散能力漏洞的测试（如社交蠕虫的测试），只允许使用和其他账号隔离的小号进行测试。禁止使用有社交关系的账号，防止蠕虫扩散。 

6、除特别获准的情况下，严禁与漏洞无关的社工，严禁进行内网渗透。 

测试范围类：

1、FSRC为白名单接收，如果业务属于焦点科技但是未出现在FSRC收取范围中，表示项目组暂时不予授权给各位安全专家进行测试，对应的相关漏洞原则上不接收。

2、若相关非授权业务安全情报确实可以为焦点安全提供帮助，FSRC可提供贡献值并参与年度排名，但不提供对应奖金。

3、FSRC已经明确告知不予授权测试的业务，请不要进行漏洞挖掘，否则未授权的法律风险将由漏洞挖掘者自己承担。 

请各位安全专家尊重《中华人民共和国网络安全法》的相关规定。禁止一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益的行为，包括但不限于威胁、恐吓SRC要公开漏洞或数据，请不要在任何情况下泄露漏洞测试过程中所获知的任何信息，漏洞信息对第三方披露请先联系FSRC获得授权。我们将对违法违规者保留采取进一步法律行动的权利。 

感谢参与此标准制定的组织： 

腾讯SRC、蚂蚁金服SRC、ASRC、阿里云先知、百度SRC、本地生活SRC、菜鸟SRC、滴滴SRC、京东SRC、蘑菇街SRC、360SRC、苏宁SRC、同舟共测-企业安全响应联盟、唯品会SRC、微博SRC、VIPKIDSRC、网易SRC、WiFi万能钥匙SRC、完美世界SRC、小米SRC