挖洞姿势千万种,合规测试要牢记!

admin
admin
admin
0
文章
0
评论
2026-02-02 00:29:10 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 京东安全应急响应中心发布合规测试规范,明确禁止扫描器及自动化工具,对SSRF、注入、越权、XSS、RCE等漏洞测试设置了严格的数据量限制和操作流程,要求白帽子保护业务与用户数据,禁止未授权测试及黑灰产行为,违规将面临警告、扣除奖励或法律追责。 综合评分: 78 文章分类: SRC活动,安全意识,渗透测试,政策法规

cover_image

挖洞姿势千万种,合规测试要牢记!

提醒您安全测试的 提醒您安全测试的

京东安全应急响应中心

2025年3月7日 20:48 北京

嘿!安全卫士们,集合啦!

    在漏洞挖掘的江湖里,咱们既要“心细如发”,也要“稳妥合规”!最近有些小伙伴一不小心就踩到了违规的“雷区”,影响了业务的安全和稳定。所以,咱们今天就来个“安全测试小课堂”,再给大家念叨念叨JSRC的测试规范,确保咱们的每一次测试都“快准稳”!希望白帽师傅们严格遵守规范,共同维护良好的测试环境。

测试规范

1、测试时禁止使用扫描器或其他自动化工具,仅允许手工测试,若影响业务运行则封号处理。

2、测试使用的账号应说明账号来源,否则视为盗用账号。

3、SSRF漏洞,应使用京东安全官方提供的url进行测试

(http://ssrf.jd.local/c3f3f53c12674acdc9855f47b85299f0.html)。

4、注入漏洞,应采取手工注入,且获取的数据量不能超过5条。

5、越权漏洞,越权读取的时候,能读取到的真实数据不超过5组,严禁进行批量读取。

6、帐号可注册的情况下,只允许用自己的2个帐号验证漏洞效果,不要涉及线上正常用户的帐号,越权增删改,请使用自己测试帐号进行。帐号不可注册的情况下,如果获取到该系统的账密并验证成功,如需进一步安全测试,请咨询运营,得到同意后进行测试。

7、存储xss漏洞,正确的方法是插入不影响他人的测试payload,严禁弹窗,推荐使用console.log,再通过自己的另一个帐号进行验证,提供截图证明。对于盲打类xss,仅允许外带domain信息。所有xss测试,测试之后需删除插入数据,如不能删除,请在漏洞报告中备注插入点。

8、如果可以shell或者命令执行的,推荐上传一个文本证明,如纯文本的1.php、1.jsp等证明问题存在即可,禁止下载和读取服务器上任何源代码文件和敏感文件,不要执行删除、写入命令,如果是上传的webshell,请写明shell文件地址和连接口令;同时发现命令执行类漏洞时,应及时联系JSRC运营进行报备,经授权后才可继续测试。

9、在测试未限制发送短信或邮件次数等扫号类漏洞,测试成功的数量不超过50个。如果用户可以感知,例如会给用户发送登陆提醒短信,则不允许对他人真实手机号进行测试。

10、如需要进行具有自动传播和扩散能力漏洞的测试(如社交蠕虫的测试),只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号,防止蠕虫扩散。

11、除特别获准的情况下,严禁与漏洞无关的社工,严禁进行内网渗透。

12、禁止进行可能引起业务异常运行的测试,例如:IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。

13、请不要对未授权厂商、未分配给自己的项目、超出测试范围的列表进行漏洞挖掘,可与管理员联系确认是否属于资产范围后进行挖掘,否则未授权的法律风险将由漏洞挖掘者自己承担。

14、禁止拖库、随意大量增删改他人信息,禁止可对服务稳定性造成影响的扫描、使用漏洞进行黑灰产行为等恶意行为。

15、敏感信息的泄漏会对用户、厂商及上报者都产生较大风险,禁止保存和传播和业务相关的敏感数据,包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除。

16、尊重《中华人民共和国网络安全法》的相关规定。禁止一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的行为,包括但不限于威胁、恐吓SRC要公开漏洞或数据,请不要在任何情况下泄露漏洞测试过程中所获知的任何信息,漏洞信息对第三方披露请先联系SRC获得授权。企业将对违法违规者保留采取进一步法律行动的权利。

违规测试处罚措施:

1、对于干扰业务/遍历数据等违规测试的行为(包括但不限于”测试规范“),根据业务资损情况及获取数据量判断是否扣除奖励。

对于测试违规说明:

1)违规且影响小的,警告处理。

2)违规且影响较大的,视业务情况扣除对应漏洞奖励,同时JSRC保留采取进一步法律行动的权利。

3)违规影响严重的,漏洞活动将不允许参与,且不再发放其他特殊奖励。

注意:不确认的点,不要私自评估危害,自己感觉危害低就以为可以继续,这个时候,务必联系运营进行确认再进行下一步操作。

  1.  如触犯测试规范第16条,将取消所有src奖励(包括年终榜奖典礼,年度奖励等)同时,我们将保留法律追责权利。

最后,祝大家:漏洞多多!

记住,咱们的口号是:挖洞姿势千万种,合规测试要牢记!

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:京东安全应急响应中心 提醒您安全测试的 提醒您安全测试的《挖洞姿势千万种,合规测试要牢记!》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0