公告编号:FSRC-2016-12
公告日期:2016-07-18
1、为改进FSRC的工作,同时也是为了保护白帽子,FSRC现对漏洞测试增加以下约定:
1)不得利用已发现的漏洞获取控制权(shell权限)。如需证明,可以通过上传/写入无害脚本/文件证明;
2)如涉及数据泄露漏洞,如SQL注入,不得利用相关漏洞获取超过2条以上的数据;
违反上述约定,相关漏洞将不再提供奖励,同时,我们保留进一步追究法律责任的权利。
2、为集中精力处置真正产生危害的漏洞,FSRC 将不再接收以下漏洞内:
1)HTTP 拆分响应漏洞,该类漏洞缺乏实际可用的攻击场景
2)Self-XSS 漏洞,该类漏洞无法用来攻击其他用户
3)不涉及敏感操作的CSRF漏洞,该类漏洞无法产生实际危害
4)缺乏细节,缺乏详细分析,甚至未经验证的漏洞扫描器发现的漏洞
上述规则将动态更新。如果对以上内容有异议,欢迎与我们取得联系。
本补充说明将在《焦点科技外部安全情报处置流程》下一次修订时添加至其中。
本补充说明的最终解释权归焦点安全应急响应中心所有。