公告编号：FSRC-2016-12

公告日期：2016-07-18

1、为改进FSRC的工作，同时也是为了保护白帽子，FSRC现对漏洞测试增加以下约定：
1）不得利用已发现的漏洞获取控制权（shell权限）。如需证明，可以通过上传/写入无害脚本/文件证明；
2）如涉及数据泄露漏洞，如SQL注入，不得利用相关漏洞获取超过2条以上的数据；

违反上述约定，相关漏洞将不再提供奖励，同时，我们保留进一步追究法律责任的权利。

2、为集中精力处置真正产生危害的漏洞，FSRC 将不再接收以下漏洞内：
1）HTTP 拆分响应漏洞，该类漏洞缺乏实际可用的攻击场景
2）Self-XSS 漏洞，该类漏洞无法用来攻击其他用户
3）不涉及敏感操作的CSRF漏洞，该类漏洞无法产生实际危害
4）缺乏细节，缺乏详细分析，甚至未经验证的漏洞扫描器发现的漏洞

上述规则将动态更新。如果对以上内容有异议，欢迎与我们取得联系。

本补充说明将在《焦点科技外部安全情报处置流程》下一次修订时添加至其中。

本补充说明的最终解释权归焦点安全应急响应中心所有。