渗透测试行为准则

2020-07-03
2020-07-03
4 min read
Hits

  对本站进行渗透测试时,需遵守如下渗透测试行为准则

信息系统机密性无害化验证指导场景

  1. 可实现非授权访问或越权访问,在进行非授权访问漏洞、越权漏洞验证时,不应访问超过 3 条敏感信息数据;
  2. 可执行数据库查询条件,在获得数据库实例、库表名称等信息证明时,不应查询超过 3 条敏感信息数据,严禁拖取数据库、表;
  3. 可获得系统主机、设备高权限,在获得当前用户系统环境权限证明后,不应再获取其他用户数据和业务数据信息;
  4. 在未申报通过的情况下禁止利用已获权限的主机或设备作为跳板机,对测试范围以外的目标进行渗透。

信息系统可用性无害化验证指导场景

  1. 执行操作前应充分估计目标网络、系统的性能冗余,不进行有可能导致目标网络、主机、设备瘫痪的大流量、高并发扫描,若因扫描导致系统拒绝服务,视为违规;
  2. 禁止执行可导致拒绝服务危害的漏洞验证用例;
  3. 禁止执行有可能导致业务紊乱、造成用户损失的漏洞验证用例。

信息系统完整性无害化验证指导场景

  1. 可获得信息系统后台功能操作权限,在完成角色、功能、权限等可控性证明后,不应再利用系统功能进行与测试无关的操作;
  2. 可获得系统主机、设备、数据库高权限,在获得相应的权限证明后,不应再对目标系统执行与测试无关的操作;
  3. 可在信息系统上传可解析、可执行内容,在完成漏洞证明后,不应遗留上传的内容,因故确实无法删除的,需在报告中明确描述,否则视为违规。

测试时需遵从国家、地方法律法规、行业惯例和社会公共道德,禁止利用平台提供的服务进行存储、发布、传播如下信息和内容

  1. 违反国家法律法规政策的任何内容(信息);
  2. 违反国家规定的政治宣传和/或新闻信息;
  3. 涉及国家秘密和/或安全的信息;
  4. 封建迷信和/或淫秽、色情、下流的信息或教唆犯罪的信息;
  5. 博彩有奖、赌博游戏;
  6. 违反国家民族和宗教政策的信息;
  7. 妨碍互联网运行安全的信息;
  8. 侵害他人合法权益的信息和/或其他有损于社会秩序、社会治安、公共道德的信息或内容;
  9. 测试者同时承诺不得为他人发布上述不符合国家规定和/或本协议条款约定的信息内容提供任何便利,包括但不限于设置 URL、BANNER 链接等。

漏洞提交问题

  1. 对于在平台提交的漏洞,测试者需要保证研究漏洞的方法、方式、工具及手段的合法性,平台对此不承担任何法律责任;
  2. 测试者不得因为漏洞信息、测试事由等私自联系被测单位;
  3. 在相应的安全保障措施未到位的情况下,严禁对安全性较差,较不稳定的系统进行漏洞验证;
  4. 测试者可以根据漏洞提交页面的相关指引,向平台提交可能导致应用程序数据丢失或篡改、隐私泄露、财务损失等安全漏洞信息,供平台工作人员以及相应漏洞被测单位审核和确认;
  5. 测试者必须基于诚信原则向平台提交漏洞信息,测试者同意并确保通过平台提交漏洞信息时,测试者是依据测试者自身所拥有的知识和技能,在公有领域通过合法正当的方式和途径发现该漏洞信息的存在,并没有采用窃取或任何不道德或非法的方式获得该等漏洞信息;简而言之,测试者能够对自身所提交的漏洞信息所包含的全部权利的合法性作出保证。
  6. 测试者不得出于任何非法目的而使用平台漏洞及平台漏洞提供的相关信息;
  7. 测试者不得利用平台进行任何可能对被测单位、互联网或移动网络正常运转造成不利影响的行为;
  8. 测试者不得利用平台提供的网络服务上传、展示或传播任何虚假的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、庸俗淫秽的或其他任何非法的信息资料;
  9. 测试者不得侵犯其他任何第三方的专利权、著作权、商标权、名誉权或其他任何合法权益;
  10. 测试者不得利用平台网络服务系统进行任何不利于平台的行为;
  11. 测试者不得利用平台漏洞服务和网站相关信息从事以下活动:
    1. 未经允许,进入计算机信息网络或者使用计算机信息网络资源;
    2. 未经允许,对计算机信息网络功能进行删除、修改或者增加;
    3. 未经允许,对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
    4. 故意制作、传播计算机病毒等破坏性程序;
    5. 其他危害计算机信息网络安全的行为。

补充

  1. 若测试者使用的某项服务中包含可下载的平台软件,则平台仅授予测试者非独占性的、不可转让的、非商业运营目的的个人使用许可。除非平台另有明示或与测试者另有约定外,测试者不得复制、修改、发布、出售或出租服务或所含软件的任何部分,也不得进行反向工程或试图提取该软件的源代码。
  2. 测试者在报告漏洞时,应根据本协议第一条,提供可供漏洞报告平台、信息系统管理方、软硬件被测单位用于复现漏洞安全风险、审计技术验证行为的完整步骤信息。
  3. 在漏洞发现、报告和相关机构响应处置期间,测试者不应向其他无关机构和个人告知已获知的漏洞风险信息。
  4. 涉及影响广泛的漏洞信息验证时,禁止研究机构、个人编写和传播违反本协议第一条指导原则、带有破坏性功能的漏洞验证代码和工具。
  5. 测试者将承诺不向其他机构、个人提交或披露受到商业测试合同条款保护的漏洞验证信息;不向任何机构和个人公开披露受到知识产权保护的软硬件产品源代码信息。
Avatar

Hui.Ke

❤ Cyber Security | Safety is a priority.