公告编号:LYSRC-0000作者:LYSRC发布日期:2024/12/12
测试规范
1.注入漏洞,只要证明可以读取数据就行,严禁读取表内数据。对于UPDATE、DELETE、INSERT等注入类型,不允许使用自动化工具进行测试。
2.越权漏洞,越权读取的时候,能读取到的真实数据不超过5组,严禁进行批量读取;并发漏洞,并发数量不超过10组,严禁特大量并发。
3.帐号可注册的情况下,只允许用自己的2个帐号验证漏洞效果,不要涉及线上正常用户的帐号,越权增删改,请使用自己测试帐号进行。帐号不可注册的情况下,如果获取到该系统的账密并验证成功,如需进一步安全测试,请咨询管理员得到同意后进行测试。
4.存储xss漏洞,正确的方法是插入不影响他人的测试payload,严禁弹窗,推荐使用console.log,再通过自己的另一个帐号进行验证,提供截图证明。对于盲打类xss,仅允许外带domain信息。所有xss测试,测试之后需删除插入数据,如不能删除,请在漏洞报告中备注插入点。
5.如果可以shell或者命令执行的,推荐上传一个文本证明,如纯文本的1.php、1.jsp等证明问题存在即可,禁止下载和读取服务器上任何源代码文件和敏感文件,不要执行删除、写入命令,如果是上传的webshell,请写明shell文件地址和连接口令。
6.在测试未限制发送短信或邮件次数等扫号类漏洞,测试成功的数量不超过50个。如果用户可以感知,例如会给用户发送登陆提醒短信,则不允许对他人真实手机号进行测试。
7.如需要进行具有自动传播和扩散能力漏洞的测试(如社交蠕虫的测试),只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号,防止蠕虫扩散。
9.除特别获准的情况下,严禁与漏洞无关的社工,严禁进行内网渗透。
10.禁止进行可能引起业务异常运行的测试,例如:IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。
12.禁止拖库、随意大量增删改他人信息,禁止可对服务稳定性造成影响的扫描、使用漏洞进行黑灰产行为等恶意行为。
1、如触犯测试规范第14条,将取消所有src奖励,同时我们将保留法律追责权利。
a.第一次会进行警告、通告,根据业务资损情况及获取数据量判断是否扣除奖励;
b.在警告后再次违规或影响较大的违规测试行为,取消积分并点名严重警告,同时LYSRC保留采取进一步法律行动的权利;
c.出现三次违规及以上,不再允许参与漏洞活动且不再发放其他任何特殊奖励,我们将按照法律程序严格执行。
注意:不确认的点,不要私自评估危害,感觉危害低就以为可以继续,这务必联系运营&审核进行确认再进行下一步操作。
望各位严格遵守SRC行业安全测试规范!
致谢
参与此标准制定的组织(排名不分先后):
LYSRC、蚂蚁金服SRC、ASRC、阿里云先知、百度SRC、腾讯SRC、本地生活SRC、菜鸟SRC、滴滴SRC、京东SRC、蘑菇街SRC、陌陌SRC、360SRC、苏宁SRC、同舟共测-企业安全响应联盟、唯品会SRC、微博SRC、VIPKIDSRC、网易SRC、WiFi万能钥匙SRC、完美世界SRC、小米SRC
感谢以下白帽子对此规范提供的建议和认可:
hackbar、SToNe、无心、、mmmark、ayound、算命先生、泳少、离兮、lakes、Adam、羽_、小笼包(随机排名,不分先后)