公告编号：FSRC-2019-02

公告日期：2019-04-09

各位白帽好：

FSRC非常感谢您对焦点安全的关注及帮助，并授权您在不影响被测试系统正常运行、不危害系统及平台用户隐私及数据安全的情况下，以测试和评估系统安全性为目的收集漏洞。

为了避免可能存在的法律风险，我们综合项目组需求、白帽子常规测试内容及《中华人民共和国网络安全法》，制定FSRC安全测试行为规范，希望各位白帽遵守测试规范，避免触犯相关红线。

在测试过程中，您需注意如下事项：

一、禁止利用漏洞或情报批量获取用户隐私和数据

1、注入漏洞

只要证明可读取库名、表名即可，严禁读取表内数据。

对于UPDATE、DELETE、INSERT 等注入类型，不允许使用自动化工具进行测试。 

2、其他获取隐私和数据的漏洞

禁止获取超过10条以上的用户信息。

如果通过遍历id等方式获取，即使未获取到10条数据，也禁止超过100次

二、禁止影响系统或业务的正常运行

2.1 禁止影响正常用户的使用体验

（1）XSS漏洞，严禁弹窗。推荐使用自己的另一个帐号进行验证，提供截图证明。对于盲打类xss，仅允许外带domain信息。

（2）越权漏洞涉请使用自己测试帐号进行，及增删改内容，不要涉及线上正常用户的帐号。

（3）禁止对他人真实手机号进行发送密码修改短信等测试

（4）如需要进行具有自动传播和扩散能力漏洞的测试（如社交蠕虫的测试），只允许使用和其他账号隔离的小号进行测试。禁止使用有社交关系的账号，防止蠕虫扩散。 

（5）禁止利用钓鱼、社工等手段或社工库数据获得正常用户或内部人员帐号并进行安全测试。

（6）如发现影响用户体验，请立即停止测试、退出登录，并及时联系运营人员进行反馈。

2.2 禁止影响系统的正常运行

（1）禁止使用扫描器进行高强度自动化扫描

（2）禁止进行可能引起业务异常甚至中断运行的测试（如：IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击）如可能存在exp，请直接提交，我们会在测试环境进行复现

（3）禁止利用漏洞或情报做内网或横向渗透，上传后门、木马、病毒等

（4）如果可以shell的，不要执行删除、写入命令。已经上传的webshell，请写明shell文件地址和连接口令。 

（5）在测试未限制发送短信或邮件次数等扫号类漏洞，测试成功的数量不超过50个。

（6）可批量向后台提交脏数据的漏洞，发送次数不要超过10次。

三、禁止保存和分享系统及平台相关敏感信息

3.1 禁止复制、下载或保存以下网站中泄露的焦点相关敏感信息。如验证内容敏感性，处理完毕后请及时告知FSRC并删除。

（1）github、gitlab等项目托管网站

（2）百度、阿里云等网盘服务中泄露的文件。

3.2 禁止保存利用漏洞或情报获得的焦点相关数据，如帐号密码、源代码等。

3.3 禁止未经FSRC允许，擅自对外公布所发现漏洞或情报的细节，展示敏感数据。

处置规则：

1、第一次发现被禁止行为，向白帽子发出警告。如果对业务造成不良影响，所涉及的漏洞及情报做忽略处理。

2、第二次发现被禁止行为，所涉及的漏洞及情报直接做忽略处理，同时对白帽帐号做冻结处理（无法提交漏洞及进行兑换）。

3、第三次发现被禁止行为，所涉及的漏洞及情报直接做忽略处理，如果对业务造成不良影响，白帽帐号积分归零。

特别说明：如果对业务造成重大影响的，酌情加大惩罚力度。如果恶意利用漏洞或情报窃取数据、影响业务，焦点科技将依照相应法律法规进行处理。

感谢各位白帽对FSRC做出的贡献。我们承诺，公正判断每个漏洞的具体危害，竭尽全力对于每位恪守白帽子精神、保护用户利益、帮助焦点提升安全质量的用户，都将给予对应的感谢和奖励。

焦点安全应急响应中心