公告编号:TPSA19-11公告来源:TSRC发布日期:2019-07-22
# 注意该公告已失效,请参考最新公告 https://security.tencent.com/index.php/announcement/msg/212
为保障安全测试过程不影响腾讯集团内网服务,并有效提高白帽子漏洞挖掘及漏洞验证的效率,TSRC团队现对白帽子SSRF(Server-Side Request Forgery/服务端请求伪造)漏洞的测试及验证行为提供以下帮助,并作相关说明如下:
1.TSRC团队联合安平洞犀团队为白帽子推出tst.qq.com域名,用于验证SSRF漏洞是否可对内网发起请求。白帽子在对SSRF进行验证时,可请求tst.qq.com WEB服务及http://tst.qq.com/flag.html页面进行验证。
2.在SSRF挖掘及漏洞验证过程中,严禁白帽子对腾讯内网发起扫描动作,TSRC保留对相关违规行为进行追责的权利。
3.TSRC会根据SSRF漏洞的回显情况,对漏洞定级及评分奖励进行相应调整,对全文回显或回显较多的漏洞相应给予更高奖励。
请广大白帽子务必遵守以上原则。感谢各位白帽子对TSRC一直以来的支持。
捐款成功,感谢您的无私奉献
