漏洞银行安全检测协议 v1.1

漏洞银行在此特别提醒您在领取测试任务前,请认真阅读《漏洞银行安全检测协议》(以下简称“本协议”),确保您充分理解本协议中各项内容和要求。您的领取、同意行为将视为对本协议的接受,并同意接受本协议的约束。

本协议可由漏洞银行随时更新,更新后的版本一旦公布即代替原来的协议内容,恕不再另行通知,您可在本平台查阅最新版协议。在漏洞银行修改本协议后,如果您不接受修改后的内容,请立即停止使用漏洞银行提供的该服务,您继续使用漏洞银行提供的该服务将被视为接受修改后的协议内容。

您在使用漏洞银行的相关服务时,必须遵守中华人民共和国相关法律法规的规定,您应同意将不会利用本平台进行任何违法或不正当的活动,如有违反而造成任何法律后果,将独立承担所有相应的法律责任。

一、保密

  • 1)禁止将提交至本平台的漏洞透漏给除漏洞银行之外的第三方,由此造成的任何损失及其法律责任均由白帽个人承担;
  • 2)禁止公开在平台提交的漏洞详情及漏洞相关的任何细节,由此造成的任何损失及其法律责任均由白帽子个人承担;

二、测试

漏洞银行安全测试规范总则

  • 1)测试过程不应影响厂商业务的正常运行,漏洞证明不应产生实质性的破坏和业务影响,不应进行会造成网站拒绝服务或访问异常的测试;
  • 2) 禁止对厂商进行社会工程学类攻击测试,不得欺骗欺诈被测厂商;
  • 3) 厂商未明确授权内网测试时,请勿进行内网渗透;
  • 4) 测试时不应使用不安全的测试方法和测试工具;
  • 5) 不应获取漏洞证明之外的数据;
  • 6) 不应公开或泄露任何厂商信息与测试任务信息;
  • 7) 测试过程中的不确定性风险,请优先在本地测试环境中验证操作,确保线上测试的安全性。如无法排除风险,应中止此类测试;
  • 8) 漏洞验证中,不得进行获取大量数据信息的操作,不造成网站异常,同时测试完成后,彻底删除存储到本地的测试信息和相关数据;
  • 9) 对于发送较多数据包的测试,需控制发包数量和发包频率,不应造成厂商业务异常。

操作类漏洞

  • 针对于增加、删除、修改等可能造成网站业务异常的操作,安全测试方式说明如下:
  • 1) 增加类漏洞测试
  • 对于造成网站数据增加的操作,如写入内容和上传文件等,测试时不能影响网站业务的运行,不应写入、上传较多条目。
  • 2) 删除类漏洞测试
  • 对于可能造成网站文件或者数据内容删除的操作,请谨慎测试,不要影响网站业务运行。仅能删除自己上传的文件或自己的内容,不能删除目标的原始文件和内容,导致网站业务异常。
  • 3) 修改类漏洞测试
  • 对于可能造成网站文件或者数据修改的操作,请谨慎测试,测试时仅能修改测试帐号的数据,请勿修改网站原始文件或者原始数据,导致网站异常。
  • 4) 其他
  • 可获得后台权限的漏洞,测试时不能影响厂商的业务,不应随意增删改后台业务功能和数据。

逻辑类漏洞

  • 1) 支付类逻辑漏洞
  • 对于支付类逻辑可能造成厂商直接经济损失的漏洞,需厂商明确授权此类漏洞可测试时才可进行测试,如厂商未明确授权测试支付逻辑漏洞,请勿测试。
  • 如厂商明确授权可测试支付逻辑漏洞,测试时,为保障双方利益,请以小额商品进行测试,保障测试不会造成较大损失,收货地址请填写非真实地址(如“xxxxxxxxx”),确保厂商不会误操作发货,测试验证完成后,务必取消订单。如遇特殊情况,请及时告知漏洞银行运营人员。
  • 2) 转账类逻辑漏洞
  • 不得转移正常用户的资金资产,测试过程中以测试帐号的方式进行该类漏洞的测试,并尽可能进行小额验证,同时测试完成后恢复正常业务。
  • 3) 重置密码漏洞
  • 仅修改测试帐号的密码,勿修改网站其他用户帐号的密码。

SQL注入类漏洞

  • 1)SQL注入漏洞测试除证明漏洞存在外,不得进行额外的数据操作,特别是添加、删除、修改等操作语句,不得擅自进行数据库的操作。
  • 2)SQL注入漏洞,仅注入5条(含)以内数据,用以证明漏洞存在即可,不要下载大量数据,并且测试验证完成后,需彻底删除下载的验证数据。
  • 3)若注入点为增、删、改可造成数据修改的类型注入,应明确使用的测试方法带来的后果,并在本地测试验证后再进行测试,如风险不确定,则不进行测试,以保证不影响网站正常业务运行。

Getshell类漏洞

  • 1)不应进行可能造成厂商系统访问异常的测试,不应上传非必需的测试文件,不应修改厂商系统或数据信息。
  • 2)上传文件不应带有不明确的功能,不使用不安全的第三方测试工具或平台。明确此种方式造成的数据泄露需承担相应的责任。
  • 3)上传成功之后,仅做getshell证明,测试验证完成后,将shell彻底删除,若无法删除请在漏洞报告中进行标明shell地址。不得进行增删改系统帐号、提权等修改数据或系统的操作。禁止下载厂商的数据。厂商未明确授权内网测试时,请勿进行内网渗透。

越权类漏洞

  • 1) 越权获取数据仅获取5条以内的数据,用以证明漏洞存在即可,请勿下载大量数据,如若下载到本地,测试完成后需要彻底删除下载到本地的数据。
  • 2) 越权操作类漏洞,仅对测试用户的数据进行操作,切勿对厂商原始用户的数据进行越权操作,以确保厂商的正常业务。

任意文件下载类漏洞

  • 1)仅下载用以证明的文件即可,请勿下载大量文件和数据,测试完成后请将下载到本地的文件彻底删除。

XSS类漏洞

  • 1)XSS测试时,不使用安全性不明的测试工具和平台,确保测试过程中不会造成数据泄露等风险。
  • 2)XSS测试时,不应影响网站的正常业务运行。测试验证5条(含)以内数据,完成后需删除相应的测试语句,并删除获取到的数据信息。

接口类漏洞

  • 1)接口漏洞测试时,不应影响网站的正常业务。
  • 2)对于短信轰炸、邮件轰炸,应控制在20条以内。
  • 3)对于接口爆破,应限制发送频率,不影响网站的正常业务,不造成网站功能异常或者延迟。

其他问题

  • 1)若测试过程中造成了对厂商实质性影响的操作,请第一时间联系漏洞银行运营人员,运营人员会第一时间协助进行事故损失的挽回。
  • 2)若测试过程遇到无法确认的风险问题或本规范未定义清楚的情况,请第一时间咨询漏洞银行运营人员,在官方指导下进行安全测试。

三、提交

  • 1)禁止利用非平台低威胁漏洞的刷分行为;
  • 2)禁止利用通用框架漏洞的刷分行为;
  • 3)禁止提交虚假漏洞或漏洞报告细节不清晰无法验证漏洞的行为;
  • 4)禁止刷洞行为;

四、行为

  • 1)严禁利用平台进行国家法律法规禁止的违法犯罪行为;
  • 2)严禁恶意破坏平台公平公正性,利用不正当不正义方式,在平台中获利等行为,如创建小号进行恶意刷榜赚取平台排名奖励等行为;
  • 3)严禁参与黑产等相关产业链的不法行为;
  • 4)严禁恶意诋毁平台名誉,恶意传播非正当言论等行为,恶意破坏行业发展与行业合作;不尊重白帽人群、不尊重信息安全行业、不尊重技术等的言论行为;
  • 5)严禁利用平台测试,非法存储与泄露任何与厂商测试内容和业务有关的信息行为;
  • 6)严禁在测试过程中使用扫描器或进行未经备案高风险操作,包括不限于服务器提权操作、删除数据、修改数据、宕机服务器等一切对厂商业务造成影响的操作行为;

五、内容

禁止上载、展示、张贴、传播或以其它方式传送含有下列内容之一的信息:

  • 1)反对宪法所确定的基本原则的;
  • 2)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
  • 3)损害国家荣誉和利益的;
  • 4)煽动民族仇恨、民族歧视、破坏民族团结的;
  • 5)破坏国家宗教政策,宣扬邪教和封建迷信的;
  • 6)散布谣言,扰乱社会秩序,破坏社会稳定的;
  • 7)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
  • 8)侮辱或者诽谤他人,侵害他人合法权利的;
  • 9)含有虚假、有害、胁迫、侵害他人隐私、骚扰、侵害、中伤、粗俗、猥亵、或其它道德上令人反感的内容;
  • 10)含有中国法律、法规、规章、条例以及任何具有法律效力之规范所限制或禁止的其它内容的;

请白帽恪守职业精神,对待社会不越底线,对待行业不作恶,对待平台不越规,一切从正义出发,做人做事恪守正向原则,为我们热爱的行业注入阳光。