58集团授权安全漏洞测试范围
58安全应急响应中心 最后更新于 2019-08-21

        自2017年6月1日起《中华人民共和国网络安全法》已经正式施行。根据《中华人民共和国网络安全法》中的解释,现在较为普遍的漏洞提交行为有较大的法律风险,为了让58SRC的白帽子能更安全的向58SRC提交漏洞,我们将授权安全漏洞测试的范围和深度公布如下:

 

测试范围:

        *.58.com
        *.ganji.com
        *.anjuke.com
        *.jxedt.com
        *.chinahr.com
        *.zhuanzhuan.com

 

测试深度:

       不影响被测试、评估系统正常运行、不危害系统及平台用户隐私、数据安全的情况下,以测试和评估系统安全性为目的收集漏洞行为的正式授权,并知会用户相关不规范行为的法律风险所有访问58SRC网站提交相关漏洞的用户,需要同意相关协议(https://security.58.com/vul/submit/protocol)后方可继续进行漏洞提交。依据《中华人民共和国网络安全法》,在没有明确授权的情况下,任何漏洞发现行为都将有较大的法律风险。

 

特别的:目前暂时不对反射型XSS进行收集,特殊影响的反射型XSS除外。

 

*附《中华人民共和国网络安全法》地址:

http://xxzx.mca.gov.cn/article/wlaqf2017/wjjd/201705/20170500891068.shtml