安全测试中的红线

    各位安全专家、“白帽子”、安全从业者、独立安全研究员们，大家好！

    本《安全测试公约》旨在维护企业和个人的双赢，各位在授权渗透过程中，应考虑到企业网站系统和APP运行的稳定性，数据的可用性、保密性和完整性，切勿造成正常业务中断，对高危漏洞的测试，应点到为止（注意以下细节），批量测试应注意，请勿操作造成大量数据写入、下载、修改和系统延时等危害业务正常运转的行为，应提前判断可能造成的影响性。需要强调的是，我们必须客观承认法律法规存在的权威性，不合规的测试行为将直接为自身安全埋下隐患！

    以常规漏洞为例的约束规则，包含不限于以下内容：

1. 代码注入漏洞情况：SQL类注入漏洞，只要证明可以读数据就行，用 version(), user(),database()其中一个即可，请勿读取表中数据；XSS类漏洞，验证后请及时删除，如无法删除的情况，请在漏洞报告贴出明确地址，以便管理员协助删除。
2. 越权漏洞情况：越权读取的时候，数据不超过5条，且避开其中较敏感的数据，证明可越权即可；增删改测试，用自己的账号证明即可，可以自己注册多个，并在报告里说明，不要涉及线上正常用户的账号；
3. 文件上传Getshell或者命令执行的情况，证明问题存在即可，拒绝影响宿主机的稳定性，请勿借此横向渗透内网，禁止获取内网权限后在内网使用扫描器、获取内网应用/主机权限等，该漏洞具体危害程度，会有SRC审核员们公平判定。
4. 高敏感后台被突破的情况：（高度敏感后台指一类本不该公网访问的后台因错误配置导致公网任意访问的含敏感数据的管理后台）以弱口令或无口令等情况渗透某台后，报告中需指明已知、已用的所有弱口令，并在24h内在删除本地存储的相关口令数据，高敏感性后台无需深度渗透，SRC会有人员协助测试，并判定危害程度。
5. 敏感数据、敏感文件访问或下载过度的行为；

    以事件为维度的红线，包括但不限于以下内容：

1. 漏洞细节泄密：将漏洞内容主动泄漏给第三方，或发帖到社交网络；
2. 敏感数据留存：测试中使用的，或测试中获取到的敏感信息，如后台账号密码、敏感token或key、资金或交易数据、个人身份信息等，在漏洞确认后1周内未对相关信息进行完全删除导致二次影响；
3. 刻意不报：对于发现的敏感信息未完全上报，明显有所保留，比如未报漏洞测试流程突破口中的账号口令、未报告上传的shell后门等等；
4. 生产线业务影响：影响业务连续性，导致业务中断，服务器宕机，或影响到了其他用户的产品使用，引起少量投诉等不良反馈；
5. 社工攻击：如使用钓鱼邮件进行攻击后，进一步种植木马病毒到个人设备或企业电脑，窃取公司机密数据等；
6. 其他故意危害计算机信息系统，侵犯公民个人信息数据而导致严重后果的行为。
7. 以资产收集或其他理由（如挖掘漏洞等）为借口，长期非法控制内部系统的账号、多次异地登录访问与非法下载与查看电子数据，并且隐瞒不报的行为；
8. 其他隐蔽手段，疑似针对本司的“APT”行为；

    东方财富非常欢迎业界安全人士在 EMSRC 平台上为我司报告安全漏洞或威胁情报相关问题，但是反对以漏 洞测试为借口，入侵业务系统、影响业务运作、窃取业务数据等有损公司利益和用户个人信息安全的行为；应恪守“白帽子精神”，保护用户利益，保护企业利益。同时，我们也将对每一份有效报告给予应有的奖励和鼓励！

    其他特别注意事项：由于东方财富旗下东方财富证券公司股票业务 的特殊性，在股市开盘当天（AM 9:00—PM 15:00），不可使用相关工具扫描， 不可使用大批量并发的安全测试方法，以及 DDoS 等危害系统稳定的手段进行所谓测试。

SRC行业安全测试规范

摘自TSRC

参与此标准制定的组织：
腾讯SRC、蚂蚁金服SRC、ASRC、阿里云先知、百度SRC、本地生活SRC、菜鸟SRC、滴滴SRC、京东SRC、LYSRC、蘑菇街SRC、陌陌SRC、360SRC、苏宁SRC、同舟共测-企业安全响应联盟、唯品会SRC、微博SRC、VIPKIDSRC、网易SRC、WiFi万能钥匙SRC、完美世界SRC、小米SRC（排名不分先后）
 

1. 注入漏洞，只要证明可以读取数据就行，严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型，不允许使用自动化工具进行测试。
 

2. 越权漏洞，越权读取的时候，能读取到的真实数据不超过5组，严禁进行批量读取。
 

3. 帐号可注册的情况下，只允许用自己的2个帐号验证漏洞效果，不要涉及线上正常用户的帐号，越权增删改，请使用自己测试帐号进行。
帐号不可注册的情况下，如果获取到该系统的账密并验证成功，如需进一步安全测试，请咨询管理员得到同意后进行测试。
 

4. 存储xss漏洞，正确的方法是插入不影响他人的测试payload，严禁弹窗，推荐使用console.log，再通过自己的另一个帐号进行验证，提供截图证明。对于盲打类xss，仅允许外带domain信息。所有xss测试，测试之后需删除插入数据，如不能删除，请在漏洞报告中备注插入点。
 

5. 如果可以shell或者命令执行的，推荐上传一个文本证明，如纯文本的1.php、1.jsp等证明问题存在即可，禁止下载和读取服务器上任何源代码文件和敏感文件，不要执行删除、写入命令，如果是上传的webshell，请写明shell文件地址和连接口令。
 

6. 在测试未限制发送短信或邮件次数等扫号类漏洞，测试成功的数量不超过50个。如果用户可以感知，例如会给用户发送登陆提醒短信，则不允许对他人真实手机号进行测试。
 

7. 如需要进行具有自动传播和扩散能力漏洞的测试（如社交蠕虫的测试），只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号，防止蠕虫扩散。
 

8. 禁止对网站后台和部分私密项目使用扫描器。
 

9. 除特别获准的情况下，严禁与漏洞无关的社工，严禁进行内网渗透。
 

10. 禁止进行可能引起业务异常运行的测试，例如：IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。
 

11. 请不要对未授权厂商、未分配给自己的项目、超出测试范围的列表进行漏洞挖掘，可与管理员联系确认是否属于资产范围后进行挖掘，否则未授权的法律风险将由漏洞挖掘者自己承担。
 

12. 禁止拖库、随意大量增删改他人信息，禁止可对服务稳定性造成影响的扫描、使用将漏洞进行黑灰产行为等恶意行为。
 

13. 敏感信息的泄漏会对用户、厂商及上报者都产生较大风险，禁止保存和传播和业务相关的敏感数据，包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料等，若存在不知情的下载行为，需及时说明和删除。
 

14、尊重《中华人民共和国网络安全法》的相关规定。禁止一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益的行为，包括但不限于威胁、恐吓SRC要公开漏洞或数据，请不要在任何情况下泄露漏洞测试过程中所获知的任何信息，漏洞信息对第三方披露请先联系SRC获得授权。企业将对违法违规者保留采取进一步法律行动的权利。

对违反用户协议以及以上行为规范和红线的个人或团体，EMSRC将有权冻结相关漏洞，冻结或追回非法所得，视实际情况的影响而定，并保留依法追究其法律责任的权利。

--本页不定期更新，请保持关注--