发布日期:2021-11-17
腾讯于2012年5月推出国内首家“漏洞反馈平台”——腾讯安全应急响应中心(TSRC),并开展“漏洞奖励计划”,邀请广大安全专家帮助腾讯发现和修复安全问题。在这个没有硝烟的战场,感谢各位白帽师傅与我们并肩而行,共同捍卫全球亿万用户的信息、财产安全!期待与您一起,继续携手并进,为建设更加安全繁荣的互联网生态而共同奋斗。
为保护测试产品和白帽子的安全和利益,确保TSRC漏洞奖励机制健康、安全执行,TSRC特别发布《安全测试规范》,以提示白帽子在测试过程中应当满足的技术规范及法律要求。TSRC同时诚邀所有白帽子按照测试规范提交腾讯安全漏洞,共建良好的互联网安全生态,禁止非法、不正当测试行为,保障各方合法权益。
1、 您仅可针对腾讯产品开展安全测试,同时,安全测试需要遵守《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及相关法律法规的规定,采取合法、正当的方式,不得侵犯任何第三方合法权益。
2、 您不得利用计算机病毒、网络攻击、网络侵入、干扰腾讯网络正常功能、窃取腾讯网络数据等危害网络安全行为的技术措施(包括但不限于程序、工具)开展安全测试,如上传恶意文件及木马、增删改其他用户个人数据、添加后门账号/权限、扫描攻击内网等渗透行为,不得对国家安全、国计民生、公共利益的关键信息基础设施产生任何危害。
3、 您在开展安全测试时不得窃取或者以其他非法方式获取任何腾讯或者其他第三方的商业信息(包括但不限于源代码、运营数据、用户资料等)、个人信息,不得非法出售或者非法向他人提供腾讯或者其他第三方的商业信息、个人信息。
4、 未经腾讯授权,您不得向任何第三方公开漏洞或提供任何与腾讯产品有关的安全情报。
5、 您还应当遵守《TSRC漏洞处理和评分标准》及《SRC行业安全测试规范》,重点强调以下几点:
(1)在测试过程中如包含数据获取功能时,包括但不限于 SQL 注入、用户资料的越权获取等,应尽可能的采取手动尝试,且获取的数据量不能超过 10 组。
(2)测试过程中获取的相关代码/数据,务必在TSRC漏洞确认后立即删除,禁止二次利用获取敏感信息。
(3)禁止进行可能引起业务异常运行的测试,不得进行拒绝服务攻击、大规模扫描等影响服务的可用性,不得篡改他人用户数据等影响业务的完整性。
(4)禁止使用可能造成业务影响的漏洞尝试工具和手法,请谨慎开展安全测试,严禁影响业务正常运行。
(5)测试越权漏洞或其他可能影响用户数据的操作时,请将尝试操作控制在自己创建的多个账号生成的内容中,不得影响线上业务其他用户的正常数据。
(6)禁止使用物理接触、社会工程学、钓鱼、水坑等不在TSRC 奖励计划允许范围内的攻击手段。
(7)请将所有测试操作和行为及时、如实、完整报告给TSRC,因故意瞒报、漏报等造成业务损害或潜在风险,TSRC保留追责权利。
1、 若您违反上述安全测试规范1次,TSRC将取消您当次漏洞奖励并处以严厉警告。
2、 当您出现以下情形时,TSRC将取消您已获得的所有荣誉,同时有权要求您返还所有奖励(包括但不限于安全币、荣誉称号及排名、年终奖励、日常关怀福利等):
(1)违反上述规范第1条;
(2)影响腾讯业务正常运转;
(3)任何原因累计违反上述安全测试规范3次及以上
3、 如果您没有遵守本规范,第三方或者国家机关可能会对您提起诉讼、罚款或采取其他制裁措施,并要求腾讯给予协助,您应当自行承担法律责任。
4、 如因您违反本规范引发的任何纠纷,导致或产生第三方主张的任何索赔、要求或损失,您应当独立承担责任;腾讯因此遭受损失的,您也应当一并赔偿。
5、 腾讯保留一切因您违反本规范而追究您法律责任的一切权利。
发布日期:2019-11-08
参与此标准制定的组织:
腾讯SRC、蚂蚁金服SRC、ASRC、阿里云先知、百度SRC、本地生活SRC、菜鸟SRC、滴滴SRC、京东SRC、LYSRC、蘑菇街SRC、陌陌SRC、360SRC、苏宁SRC、同舟共测-企业安全响应联盟、唯品会SRC、微博SRC、VIPKIDSRC、网易SRC、WiFi万能钥匙SRC、完美世界SRC、58SRC、小米SRC(排名不分先后)
感谢以下白帽子对此规范提供的建议和认可:
hackbar、SToNe、无心、、mmmark、ayound、算命先生、泳少、离兮、lakes、Adam、羽_、小笼包(随机排名,不分先后)
2. 越权漏洞,越权读取的时候,能读取到的真实数据不超过5组,严禁进行批量读取。
3. 帐号可注册的情况下,只允许用自己的2个帐号验证漏洞效果,不要涉及线上正常用户的帐号,越权增删改,请使用自己测试帐号进行。
帐号不可注册的情况下,如果获取到该系统的账密并验证成功,如需进一步安全测试,请咨询管理员得到同意后进行测试。
4. 存储xss漏洞,正确的方法是插入不影响他人的测试payload,严禁弹窗,推荐使用console.log,再通过自己的另一个帐号进行验证,提供截图证明。对于盲打类xss,仅允许外带domain信息。所有xss测试,测试之后需删除插入数据,如不能删除,请在漏洞报告中备注插入点。
5. 如果可以shell或者命令执行的,推荐上传一个文本证明,如纯文本的1.php、1.jsp等证明问题存在即可,禁止下载和读取服务器上任何源代码文件和敏感文件,不要执行删除、写入命令,如果是上传的webshell,请写明shell文件地址和连接口令。
6. 在测试未限制发送短信或邮件次数等扫号类漏洞,测试成功的数量不超过50个。如果用户可以感知,例如会给用户发送登陆提醒短信,则不允许对他人真实手机号进行测试。
7. 如需要进行具有自动传播和扩散能力漏洞的测试(如社交蠕虫的测试),只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号,防止蠕虫扩散。
8. 禁止对网站后台和部分私密项目使用扫描器。
9. 除特别获准的情况下,严禁与漏洞无关的社工,严禁进行内网渗透。
10. 禁止进行可能引起业务异常运行的测试,例如:IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。
11. 请不要对未授权厂商、未分配给自己的项目、超出测试范围的列表进行漏洞挖掘,可与管理员联系确认是否属于资产范围后进行挖掘,否则未授权的法律风险将由漏洞挖掘者自己承担。
12. 禁止拖库、随意大量增删改他人信息,禁止可对服务稳定性造成影响的扫描、使用将漏洞进行黑灰产行为等恶意行为。
13. 敏感信息的泄漏会对用户、厂商及上报者都产生较大风险,禁止保存和传播和业务相关的敏感数据,包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除。
14、尊重《中华人民共和国网络安全法》的相关规定。禁止一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的行为,包括但不限于威胁、恐吓SRC要公开漏洞或数据,请不要在任何情况下泄露漏洞测试过程中所获知的任何信息,漏洞信息对第三方披露请先联系SRC获得授权。企业将对违法违规者保留采取进一步法律行动的权利。
捐款成功,感谢您的无私奉献
