Oray-白帽测试行为规范细则

公告编号:白帽测试行为规范细则作者:贝锐管理员发布日期:2022/04/15

总  则

贝锐安全应急响应中心(OSRC)为致力于维护互联网健康生态环境,保障公司产品和业务线的信息安全,促进与安全专家的合作与交流,而建立的漏洞收集及应急响应平台。白帽子小伙伴们在测试发现以及提交漏洞时应遵守《白帽测试行为规范》。

         为加强平台注册白帽子身份界定,建立白帽子认证和管理机制,白帽子注册提交漏洞时必须通过认证并且确保认证信息的真实性和可靠性。

         白帽子小伙伴们在测试贝锐的相关业务系统时,必须遵守《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及相关法律法规的规定,采取合法、正当的方式,不得侵犯任何第三方合法权益。承诺不会利用发现的安全漏洞进行任何违法或不正当的活动,并应遵守下列条款(包括但不限于下列条款内容)∶

 

第一条  为加强白帽子漏洞提交规范,OSRC平台禁止以下行为:

1、  禁止在平台提交虚假漏洞信息,一经发现并证实后,我们将根据情况扣除其安全币及贡献值,情节严重者做封号处理;

2、  禁止将提交至OSRC平台的漏洞透漏给其他的第三方,透露给第三方造成的任何损失均由白帽子个人承担,违反规定者我们将根据情况扣除其安全币及贡献值,情节严重者将追究法律责任;

3、  禁止公开未经修复的漏洞信息详情及漏洞相关的任何细节,避免给贝锐带来商业利益、商业信誉的损失,违反规定者我们将根据情况扣除信誉值,情节严重者将追究法律责任;

 

第二条  白帽子在漏洞风险发现与技术验证过程中必须注意以下行为 :

1、 白帽子在漏洞风险发现与技术验证过程中必须要保证研究漏洞的方法、方式、工具及手段的合法性,禁止使用物理接触、社会工程学、钓鱼、水坑等不在OSRC 奖励计划允许范围内的攻击手段;

2、 在漏洞挖掘时实现非授权访问或用户权限越权,在完成非授权逻辑、越权逻辑验证时,不应再获取和留存用户信息和信息系统文件信息;

3、 测试越权漏洞或其他可能影响用户数据的操作时,请将尝试操作控制在自己创建的多个账号生成的内容中,不得影响线上业务其他用户的正常数据;

4、 在漏洞挖掘时可执行数据库查询条件,获得数据库实例、库表名称等信息证明时,不应再查询涉及个人信息、业务信息的详细数据;

5、 在漏洞挖掘时获得系统主机、设备高权限,在获得当前用户系统环境信息证明时,不应再获取其他用户数据和业务数据信息;

6、 在漏洞挖掘时禁止利用当前主机或设备作为跳板,对目标网络内部区域进行扫描测试;

7、 在漏洞挖掘时应充分估计目标网络、系统的安全冗余,不应进行有可能导致目标网络、主机、设备瘫痪的大流量、大规模扫描;

8、  在漏洞挖掘时禁止执行可导致本地、远程拒绝服务危害的技术验证工具和手段;

9、 在漏洞挖掘时禁止执行有可能导致整体业务逻辑扰动、有可能产生用户经济财产损失的技术验证工具和手法,请谨慎开展安全测试,严禁影响业务正常运行;

10、在漏洞挖掘时禁止进行可能引起业务异常运行的测试,不得进行拒绝服务攻击、大规模扫描等影响服务的可用性,不得篡改他人用户数据等影响业务的完整性;

11、在漏洞挖掘时获得信息系统后台功能操作权限,获得当前用户角色属性证明时,不应再利用系统功能实施编辑、增删、篡改等操作;

12、在漏洞挖掘时获得系统主机、设备、数据库高权限,获得当前系统环境信息证明时,不应再执行文件、程序、数据的编辑、增删、篡改等操作。

13、在漏洞挖掘时信息系统上传可解析、可执行文件,在获得解析和执行权限逻辑证明时,不应驻留带有控制性目的程序、代码;

14、请将所有测试操作和行为及时、如实、完整报告给OSRC,因故意瞒报、漏报等造成业务损害或潜在风险,OSRC保留追责权利。

 

第三条  不得为任何非法目的而使用OSRC平台及平台提供的相关信息:

1、 不得利用OSRC平台进行任何可能对厂商、互联网或移动网正常运转造成不利影响的行为;

2、 不得利用OSRC平台提供的网络服务上传、展示或传播任何虚假的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、庸俗淫秽的或其他任何非法的信息资料;

3、 不得侵犯其他任何第三方的专利权、著作权、商标权、名誉权或其他任何合法权益;

4、 不得进行任何不利于OSRC平台的行为;

 

第四条  禁止上载、展示、张贴、传播或以其它方式传送含有下列内容之一的信息 :

1、  反对宪法所确定的基本原则的;

2、  危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;

3、  损害国家荣誉和利益的;

4、  煽动民族仇恨、民族歧视、破坏民族团结的;

5、  破坏国家宗教政策,宣扬邪教和封建迷信的;

6、  散布谣言,扰乱社会秩序,破坏社会稳定的;

7、  散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;

8、  侮辱或者诽谤他人,侵害他人合法权利的;

9、  含有虚假、有害、胁迫、侵害他人隐私、骚扰、侵害、中伤、粗俗、猥亵、或其它道德上令人反感的内容;

10、含中国法律、法规、规章、条例以及任何具有法律效力之规范所限制或禁止的其它内容的;

 

第五条  不利用安全漏洞服务和网站相关信息从事以下活动 :

1、  未经允许,进入计算机信息网络或者使用计算机信息网络资源的;

2、  未经允许,对计算机信息网络功能进行删除、修改或者增加的;

3、  未经允许,对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;

4、   故意制作、传播计算机病毒等破坏性程序的;

5、   其他危害计算机信息网络安全的行为。

 

第六条  处罚措施及法律责任

1、 若您违反上述安全测试规范1次,OSRC将取消您当次漏洞奖励并处以严厉警告。

2、 当您出现以下情形时,OSRC将取消您已获得的所有荣誉,同时有权要求您返还所有奖励(包括但不限于安全币、荣誉称号及排名、年终奖励、日常关怀福利等):

a)     违反上述规范第1条;

b)     影响贝锐业务正常运转;

c)     任何原因累计违反上述安全测试规范3次及以上

3、 如果您没有遵守本规范,第三方或者国家机关可能会对您提起诉讼、罚款或采取其他制裁措施,并要求贝锐给予协助,您应当自行承担法律责任。

4、 如因您违反本规范引发的任何纠纷,导致或产生第三方主张的任何索赔、要求或损失,您应当独立承担责任;贝锐因此遭受损失的,您也应当一并赔偿。

5、贝锐保留一切因您违反本规范而追究您法律责任的一切权利。