一、漏洞检测行为与攻击行为的区别

检测行为定义：在符合我国相关法律的前提下，帮助机构的发现程序漏洞，不利用漏洞对企业产生任何实质影响，仅为验证和发现漏洞，目的是单纯地为了帮助机构修复漏洞；

攻击行为定义：发现漏洞的过程违反了我国信息安全相关法律，违反了机构或企业的相关规定，利用漏洞对企业造成了实质上的损害。

二、BUGBANK平台营建、奉行的价值观

BUGBANK平台将努力营建并奉行一个开放且合法的网络安全新兴价值观，鼓励白帽合法的发现漏洞，找出企业在程序开发过程中面临潜在风险并帮助企业提前消除风险；同时鼓励企业对白帽的付出给予高度的肯定和认可；并在符合企业发展的视角适当给予白帽相应的劳动奖励。BUGBANK平台将站在企业和白帽双赢的视角，促进各行业的网络安全的得到高速发展，助力中国信息安全事业腾飞。

为了维护白帽的正当权益和保护企业的利益，对于在BUGBANK平台发布的漏洞，所有权归提交者所有，白帽需要保证研究漏洞的方法、方式、工具及手段完全符合国家相关法律规定，BUGBANK平台对此不承担任何法律责任。BUGBANK平台及团队尽量保证信息的可靠性，但是不绝对保证所有信息来源的可信，其中漏洞证明方法可能存在攻击性，但是一切都是为了说明问题而存在，BUGBANK平台对此不负担任何责任。企业在BUGBANK平台注册时需要确认能够代表企业身份授权白帽发现安全问题并且对安全问题及时处理和响应，BUGBANK平台对企业内部流程导致的问题不负担任何责任。用户在使用BUGBANK平台的相关服务时，必须遵守中华人民共和国相关法律法规的规定，用户应同意将不会利用BUGBANK平台进行任何违法或不正当的活动，包括但不限于下列行为∶

一、上载、展示、张贴、传播或以其它方式传送含有下列内容之一的信息：

• 1）反对宪法所确定的基本原则的；
• 2）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；
• 3）损害国家荣誉和利益的；
• 4）煽动民族仇恨、民族歧视、破坏民族团结的；
• 5）破坏国家宗教政策，宣扬邪教和封建迷信的；
• 6）散布谣言，扰乱社会秩序，破坏社会稳定的；
• 7）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；
• 8）侮辱或者诽谤他人，侵害他人合法权利的；
• 9）含有虚假、有害、胁迫、侵害他人隐私、骚扰、侵害、中伤、粗俗、猥亵、或其它道德上令人反感的内容；
• 10）含有中国法律、法规、规章、条例以及任何具有法律效力之规范所限制或禁止的其它内容的；

二、不得为任何非法目的而使用BUGBANK平台及BUGBANK平台提供的相关信息：

• 1）不得利用BUGBANK平台进行任何可能对互联网或移动网正常运转造成不利影响的行为；
• 2）不得利用BUGBANK平台提供的网络服务上传、展示或传播任何虚假的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、庸俗淫秽的或其他任何非法的信息资料；
• 3）不得侵犯其他任何第三方的专利权、著作权、商标权、名誉权或其他任何合法权益；
• 4）不得利用BUGBANK网络服务系统进行任何不利于BUGBANK的行为；

三、不利用BUGBANK服务和网站相关信息从事以下活动：

• 1) 未经允许，进入计算机信息网络或者使用计算机信息网络资源的；
• 2) 未经允许，对计算机信息网络功能进行删除、修改或者增加的；
• 3) 未经允许，对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的；
• 4) 故意制作、传播计算机病毒等破坏性程序的；
• 5) 其他危害计算机信息网络安全的行为。
• 6）测试行为造成了对机构的攻击行为，包括但不限于数据泄露、数据丢失、服务异常、访问缓慢等；
• 7）测试行为造成了对机构的声誉影响，包括但不限于曝光机构漏洞、勒索机构、倒卖机构数据、利用社会工程学欺骗机构等；
• 8）测试行为造成了对机构的事实性损害，包括但不限于经济损失、舆论受损等；

白帽可以提交各种漏洞,不局限于传统意义上的产品漏洞,包括网络配置,服务器管理,钓鱼欺诈甚至是有证据的黑客事件都可作为有效的信息提交给BUGBANK平台。白帽不得将相关漏洞通过其他任何形式和其他平台或线上及线下任何形式载体重复提交、转载或公布。对于有涉及类似违反行为的白帽，BUGBANK平台将根据情况扣除白帽的积分、发布响应通告，甚至直接删除账户ID。

郑重声明：以上约定的相关条款如有违反，将追究其相关法律责任！

三、互联网威胁情报接收说明（试行）

为更好地维护互联网安全生态，推动中国互联网安全良性发展，平台自2019年9月5日起，开始对互联网威胁情报进行公益性质接收，并向国家级漏洞平台单位进行报送，以免高风险安全问题泄露并被不法利用。平台实名用户可在领取互联网威胁情报接收类任务后，提交相关互联网威胁情报，具体细则参见任务详情页说明。愿你我携手，共同打造互联网安全美好生态。

注意事项：

1. 互联网威胁情报处置流程

平台在接收到互联网威胁情报后，会第一时间进行审核，以确认其真实性、有效性。若真实有效，则将由平台做出技术评定及危害评定，待白帽确认后，我们将积极联系厂商并协助厂商对威胁情报进行认领、确认和修复，同时将威胁情报报送至国家级漏洞平台单位，威胁情报内容将严格保密、不予公开。

2. 互联网威胁情报奖励说明

互联网威胁情报在经过平台审核、白帽确认后，将向白帽发放互联网项目专属平台奖励——贡献值和漏洞币，试行期间，贡献值将有月度排名及奖励，漏洞币则可以一定比例兑换为BK币。

四、法律援助

1. 测试网站安全性，如何做才不犯法？

按照《刑法》第二百八十五条的规定，侵入计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，构成非法侵入计算机信息系统罪或者非法获取计算机信息系统数据罪。构成此类型犯罪需同时具备三个条件：1、侵入计算机系统；2、获取计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制；3、情节严重的。(情节严重请参考《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》)。只有这三个条件同时具备才构成犯罪，要受到刑罚。即侵入计算机系统，但没有获取数据，或者获取数据，但情节不严重，不构成犯罪，不受刑法处罚。

2. 找到一个高危漏洞，能否联系厂商，向厂商索要礼物，是否犯法？

如果仅进入到厂商计算机系统进行测试，并没有获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，并没有造成严重后果，不构成犯罪，不用承担刑罚后果。但如果以漏洞向厂商索要礼物，此行为涉嫌敲诈勒索，情节比较严重时，将构成犯罪，需要承担刑事责任。

3. 测试时，不小心删除了网站数据，导致网站无法正常服务，如何处理？

根据《刑法》第二百八十六条规定，违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，构成破坏计算机信息系统罪。是否够成上述罪名，取决于后果是否严重。按照《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的规定，只要"造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的"就可以构成这个罪名。在此情况下尽可能与网站所有者进行沟通，达成谅解，不予追究刑事责任。

4. 白帽子的行为是否会违反刑法，是否构成犯罪？

白帽子的行为很有可能会违反刑法第二百八十五条、第二百八十六条，是否构成犯罪，取决于白帽子的行为是否会产生严重的后果。第二百八十七条，是对利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的行为的规定，与白帽子行为无关。

5. 公开厂商漏洞是否存在法律问题？

白帽子公开漏洞，如果造成严重后果，将存在法律问题。比如，将细节进行公开，导致厂商网站漏洞全部暴露，该行为很有可能导致厂商网站被黑客入侵。如果黑客的破坏行为达到"后果严重"的标准，那么白帽子的行为肯定不会得到厂商认可。同时由于此种行为帮助黑客实施犯罪行为，这种情况下，白帽子的行为间接造成厂商损失，很有可能需对厂商所遭受的损失承担一定的赔偿责任。

6. 读取少量数据测试，是否存在法律风险？

按照法律规定，只要是进入他人的计算机系统，获取该计算机信息系统中存储、处理或者传输的数据，就有可能构成犯罪，但这个行为是否构成犯罪主要看后果是否严重，“后果严重”的标准以《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的规定为准，如果达到这个标准就构成犯罪。

7. 联系厂商存在漏洞，他们说要报警抓我，这种情况该怎么办？

按照《治安管理处罚法》第二十九条、《刑法》第二百八十五条的规定，只有在未经允许侵入厂商的计算机系统；获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制；情节严重的，这三点同时具备的前提下才构成犯罪。如果情节不严重，不构成犯罪，最多是一种轻微的违法行为，不应受到刑法处罚。

8. 拿到授权进行测试，授权范围内造成了致命性危害，会算违法吗？

授权测试，最好事先与计算机系统所有者就测试行为签署书面文件，就测试的方法、流程、相关的细节、有可能造成的后果都约定清楚。有了约定，如果由于失误造成致命性危害，并且是在约定范围内的，是不属于违法，也不用承担任何责任后果。

9. 测试支付逻辑漏洞时，需要注意哪些问题？

在测试支付逻辑漏洞时，白帽子请严格遵守测试规范，不得对厂商造成实际的业务损失和影响。