公告编号：FSRC-2019-02

公告日期：2019-04-09

各位白帽好：

FSRC授权您在不影响被测试系统正常运行、不危害系统及平台用户隐私及数据安全的情况下，以测试和评估系统安全性为目的收集漏洞。在测试过程中，您需注意如下事项：

【禁止利用漏洞或情报批量获取用户隐私和数据】

1、账号数据：100条以上帐号信息或用户私人信息，或10条以上帐号密码信息；

2、订单数据：50条以上包含敏感信息的用户信息，或5条以上包括支付数据的信息；

3、数据库信息：50条以上数据库表字段值。

【禁止影响系统或业务的正常运行】

1、利用钓鱼、社工等手段或社工库数据获得正常用户或内部人员帐号并进行安全测试。利用该方法获取的漏洞，FSRC将视对业务影响程度酌情进行评分；

2、使用扫描器进行高强度自动化扫描；

3、使用自动化软件进行插入、变更、删除数据等可能损害业务正常运行的操作；

4、利用漏洞或情报做内网或横向渗透，上传后门、木马、病毒等。

【禁止保存和分享系统及平台相关敏感信息】

1、禁止复制、下载或保存github、gitlab等项目托管网站及百度、微云等网盘服务中泄露的文件。如验证内容敏感性，处理完毕后请及时告知FSRC并删除；

2、禁止保存利用漏洞或情报获得的焦点相关数据，如帐号密码、源代码等；

3、禁止未经FSRC允许，擅自对外公布所发现漏洞或情报的细节，展示敏感数据。

处置规则

1、第一次发现被禁止行为，向白帽子发出警告。如果对业务造成不良影响，所涉及的漏洞及情报做忽略处理。

2、第二次发现被禁止行为，所涉及的漏洞及情报直接做忽略处理，同时对白帽帐号做冻结3个月处理（无法提交漏洞及进行兑换）。

3、第三次及之后发现被禁止行为，所涉及的漏洞及情报直接做忽略处理，同时视对业务影响程度对账号进行处理，包括但不限于：冻结帐号6个月、帐号积分归零。

特别说明：如果对业务造成重大影响的，酌情加大惩罚力度。如果恶意利用漏洞或情报窃取数据、影响业务，焦点科技将依照相应法律法规进行处理。

 其他

本文档在处理流程方面参考了《京东白帽子测试行为规范》

如果您对本流程有任何的建议，欢迎通过security@focuschina.com向我们反馈。

感谢各位白帽对FSRC做出的贡献。我们承诺，对于每位恪守白帽子精神、保护用户利益、帮助焦点提升安全质量的用户，都将尽全力给予对应的感谢和奖励。

焦点安全应急响应中心

2018.3.29