金山云安全应急响应中心(KYSRC)

金山云SRC与您一起共同打造健康安全的网络空间

提交漏洞

【必看】金山云SRC安全测试规范

尊敬的各位白帽子:

感谢您对金山云安全的关注与支持,感谢您恪守白帽子精神及时报告安全漏洞,与我们一起捍卫广大用户的信息及财产安全!

为了能与白帽子携手共创安全干净的互联网环境,现发布《金山云SRC安全测试规范》,请白帽子仔细阅读并按照规范测试:

1. 测试过程不得损害业务正常运行。不得以测试漏洞为借口,利用漏洞进行损害用户利益、影响业务运作、盗取用户数据等行为;

2. 禁止盗用或借用管理账号、内部账号进行测试;

3. 禁止进行内网渗透行为,如内网扫描、主机提权的行为;

4. 禁止进行网络拒绝服务(DoS 或DDoS)测试;

5. 禁止拖库、随意大量增删改他人信息,禁止进行可能对服务稳定性造成影响的扫描,禁止利用漏洞进行黑灰产等恶意行为;

6. 禁止保存、传播与业务相关的敏感数据,包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除;

7. 禁止进行物理测试、社会工程学测试或任何其他非技术漏洞测试;

8. 测试SQL注入、越权读取数据类漏洞时,获取的数据量不能超过10条;

9. 测试命令执行漏洞时,推荐上传一个文本证明,如纯文本的1.php、1.jsp等证明问题存在即可。禁止上传WebShell或其他恶意文件,禁止对内网其他主机进行扫描测试;

10. 测试验证越权增删查改时,请自行注册两个测试账号进行测试。务必控制测试范围,不得危害系统正常数据;

11. 帐号可注册的情况下,只允许用自己的2个帐号验证漏洞效果,不要涉及线上正常用户的帐号,越权增删改,请使用自己测试帐号进行。帐号不可注册的情况下,如果获取到该系统的账密并验证成功,如需进一步安全测试,请咨询审核人员得到同意后进行测试;

12. 存储xss漏洞,正确的方法是插入不影响他人的测试payload,严禁弹窗,推荐使用console.log,再通过自己的另一个帐号进行验证,提供截图证明。对于盲打类xss,仅允许外带domain信息。所有xss测试,测试之后需删除插入数据,如不能删除,请在漏洞报告中备注插入点;

13. 在测试未限制发送短信或邮件次数等扫号类漏洞,测试成功的数量不超过50个。如果用户可以感知,例如会给用户发送登陆提醒短信,则不允许对他人真实手机号进行测试;

14. 如需要进行具有自动传播和扩散能力漏洞的测试(如社交蠕虫的测试),只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号,防止蠕虫扩散;

15. 未经KYSRC授权,严禁公开漏洞信息,包括已忽略的漏洞;

对于恶意利用安全漏洞进行破坏、损害我司系统及用户的利益的攻击行为,根据危害程度取消相应奖金,如情节严重者,KYSRC有权直接取消漏洞奖励以及所有奖励评定资格,并保留法律追责权利。

最后,诚邀各位白帽子一起加入到“负责任的漏洞披露”过程中来,为金山云业务的健康发展保驾护航,为共建互联网安全生态而共同努力。

感谢!