《58集团授权安全漏洞测试规范》
58安全应急响应中心 最后更新于 2023-05-23 16:21:16

自2017年6月1日起《中华人民共和国网络安全法》已经正式施行。根据《中华人民共和国网络安全法》中的解释,现在较为普遍的漏洞提交行为有较大的法律风险,为了让58SRC的白帽子能更安全的向58SRC提交漏洞,我们将授权安全漏洞测试的范围和深度公布如下:

 

授权测试范围:

测试范围详情请参考《58SRC资产收录范围》

授权测试深度:

仅对不影响被测试或评估系统正常运行、不危害系统及平台用户隐私或数据安全、不对内网进行扫描或攻击、仅对网站进行测试的情况下,以测试和评估系统安全性为目的收集漏洞的行为正式授权,并知会用户相关不规范行为的法律风险所有访问58SRC网站提交相关漏洞的用户,需要同意相关协议(https://security.58.com/vul/submit/protocol)后方可继续进行漏洞提交用户需要在满足《中华人民共和国网络安全法》及其他相关法律的情况下进行业务操作,在没有明确授权的情况下,任何漏洞发现行为都将有较大的法律风险

强烈禁止测试行为:

  1. 所有漏洞禁止传播,尤其是,白帽子之间禁止交流58业务漏洞。
  2. 员工、外包、代理商体系、渠道体系禁止提交漏洞,非对外公开系统禁止未授权测试,特殊情况可提前与SRC运营人员沟通。
  3. 测试漏洞仅限证明性测试,严禁破坏性测试、权限维持行为,同时测试中如若需进行数据敏感操作,例如删除,修改等操作,请提前与SRC运营人员沟通获取授权。一旦测试导致用户以及业务投诉等情况,平台将按照违规行为处理。
  4. 禁止内网扫描、系统后台功能测试以及导致系统不可用的行为。
  5. 测试漏洞禁止非必要修改页面、重复弹框(xss验证建议使用console.log)、盗取cookie、使用获取其他用户信息等攻击性较强的payload。如不慎使用了攻击性较强的payload,请及时自行删除或告知。
  6. 禁止下载任何代码、配置等58集团内部信息,禁止超过50条的敏感数据遍历行为(注:包括但不限于个人敏感信息如手机、住址、银行卡信息等,公司及业务商业数据,任何可用于用户身份鉴权和登陆的相关凭证,sql注入获取的数据),如发现有复制、分享、传播等危害58集团信息保密、安全等行为,一律发起法律途径进行处理。

违规处理:

如发现白帽子存在违规行为,平台将给予违规警告并扣除白帽子违规相关漏洞奖励,针对情节严重者平台将永久禁封账号并保留追究法律责任的权力。

*附《中华人民共和国网络安全法》地址:

http://xxzx.mca.gov.cn/article/wlaqf2017/wjjd/201705/20170500891068.shtml