必读【安全测试公约】

发布时间:2019-04-26 00:00:00

安全测试中的安全

各位“白帽子”大家好,平日在渗透过程中,应考虑到企业网站系统或app运行稳定性、数据库可用性,切勿造成正常业务中断,对SQL注入类的验证测试,点道为止,批量测试应注意,请勿造成大量数据写入、下载、修改、延时等危害数据库及业务运营的行为,应提前判断可能造成的影响性。

测试规则包含不限于以下内容:

1)注入漏洞,只要证明可以读数据就行,用 version(), user(),database()其中一个即可,请勿读取表中数据;

2)越权漏洞,越权读取的时候,数据不超过5条,证明可越权即可。增删改测试,用自己的账号证明,可以自己注册多个,不要涉及线上正常用户的账号;

3) 如果可以shell或者命令执行的,不要深入,证明问题存在即可。

 

白帽子行为约束

东方财富欢迎业界安全人士在 EMSRC 平台上为我司提交安全漏洞,但反对以漏 洞测试为借口,入侵业务系统、影响业务运作、窃取业务数据等有损公司利益和用户个人信息安全的行为;

禁止因漏洞植入后门但未上报 EMSRC 的行为,禁止测试过程中盗取大 量用户敏感信息的行为,一经发现,视入侵的影响程度保留追溯其法律责任的权利。

应恪守“白帽子精神”,保护用户利益,保护企业利益。

特别注意事项:由于东方财富旗下东方财富证券公司股票业务 的特殊性,在股市开盘当天(AM 9:00—PM 15:00),不可使用相关工具扫描, 不可使用大批量并发的安全测试方法,以及 DDoS 等危害系统稳定的手段进行所谓测试。

我们也将对每一份有效报告给予应有的奖励和鼓励!

返回公告列表