自2017年6月1日起《中华人民共和国网络安全法》已经正式施行。根据《中华人民共和国网络安全法》中的解释，现在较为普遍的漏洞提交行为有较大的法律风险，为了让58SRC的白帽子能更安全的向58SRC提交漏洞，我们将授权安全漏洞测试的范围和深度公布如下：

授权测试范围：

测试范围详情请参考《58SRC资产收录范围》

授权测试深度：

仅对不影响被测试或评估系统正常运行、不危害系统及平台用户隐私或数据安全、不对内网进行扫描或攻击、仅对网站进行测试的情况下，以测试和评估系统安全性为目的的收集漏洞的行为正式授权，并知会用户相关不规范行为的法律风险。所有访问58SRC网站提交相关漏洞的用户，需要同意相关协议(https://security.58.com/vul/submit/protocol)后方可继续进行漏洞提交。用户需要在满足《中华人民共和国网络安全法》及其他相关法律的情况下进行业务操作，在没有明确授权的情况下，任何漏洞发现行为都将有较大的法律风险。

强烈禁止测试行为：

1. 所有漏洞禁止传播，尤其是，白帽子之间禁止交流58业务漏洞。
2. 员工、外包、代理商体系、渠道体系禁止提交漏洞，非对外公开系统禁止未授权测试，特殊情况可提前与SRC运营人员沟通。
3. 测试漏洞仅限证明性测试，严禁破坏性测试、权限维持行为，同时测试中如若需进行数据敏感操作，例如删除，修改等操作，请提前与SRC运营人员沟通获取授权。一旦测试导致用户以及业务投诉等情况，平台将按照违规行为处理。
4. 禁止内网扫描、系统后台功能测试以及导致系统不可用的行为。
5. 测试漏洞禁止非必要修改页面、重复弹框（xss验证建议使用console.log）、盗取cookie、使用获取其他用户信息等攻击性较强的payload。如不慎使用了攻击性较强的payload，请及时自行删除或告知。
6. 禁止下载任何代码、配置等58集团内部信息，禁止超过50条的敏感数据遍历行为（注：包括但不限于个人敏感信息如手机、住址、银行卡信息等，公司及业务商业数据，任何可用于用户身份鉴权和登陆的相关凭证，sql注入获取的数据)，如发现有复制、分享、传播等危害58集团信息保密、安全等行为，一律发起法律途径进行处理。

违规处理：

如发现白帽子存在违规行为，平台将给予违规警告并扣除白帽子违规相关漏洞奖励，针对情节严重者平台将永久禁封账号并保留追究法律责任的权力。

*附《中华人民共和国网络安全法》地址：

http://xxzx.mca.gov.cn/article/wlaqf2017/wjjd/201705/20170500891068.shtml