按照对信息系统机密性、可用性、完整性等三方面要素的影响评估,白帽用户的漏洞风险发现与技术验证应遵循无害化原则:
一、信息系统机密性无害化验证指导场景:
1、可实现非授权访问或用户权限越权,在完成非授权逻辑、越权逻辑验证时,不应再获取和留存用户信息和信息系统文件信息;
2、可执行数据库查询条件,在获得数据库实例、库表名称等信息证明时,不应再查询涉及个人信息、业务信息的详细数据;
3、可获得系统主机、设备高权限,在获得当前用户系统环境信息证明时,不应再获取其他用户数据和业务数据信息;
4、禁止利用当前主机或设备作为跳板,对目标网络内部区域进行扫描测试。
二、信息系统可用性无害化验证指导场景:
1、应充分估计目标网络、系统的安全冗余,不进行有可能导致目标网络、主机、设备瘫痪的大流量、大规模扫描;
2、禁止执行可导致本地、远程拒绝服务危害的技术验证用例;
3、禁止执行有可能导致整体业务逻辑扰动、有可能产生用户经济财产损失的技术验证用例。
三、信息系统完整性无害化验证指导场景:
1、可获得信息系统后台功能操作权限,在获得当前用户角色属性证明时,不应再利用系统功能实施编辑、增删、篡改等操作;
2、可获得系统主机、设备、数据库高权限,在获得当前系统环境信息证明时,不应再执行文件、程序、数据的编辑、增删、篡改等操作;
3、可在信息系统上传可解析、可执行文件,在获得解析和执行权限逻辑证明时,不应驻留带有控制性目的程序、代码。
四、您使用网络安全众测平台产品或服务时将遵从国家、地方法律法规、行业惯例和社会公共道德,不会利用网络安全众测平台提供的服务进行存储、发布、传播如下信息和内容:违反国家法律法规政策的任何内容(信息);违反国家规定的政治宣传和/或新闻信息;涉及国家秘密和/或安全的信息;封建迷信和/或淫秽、色情、下流的信息或教唆犯罪的信息;博彩有奖、赌博游戏;违反国家民族和宗教政策的信息;妨碍互联网运行安全的信息;侵害他人合法权益的信息和/或其他有损于社会秩序、社会治安、公共道德的信息或内容;您同时承诺不得为他人发布上述不符合国家规定和/或本协议条款约定的信息内容提供任何便利,包括但不限于设置URL、BANNER链接等。
五、漏洞提交问题
1、对于您在平台发布的漏洞,您需要保证研究漏洞的方法、方式、工具及手段的合法性,平台对此不承担任何法律责任;
2、您不得因为漏洞信息私自联系厂商;
3、在相应的安全措施到位前,严禁对那些安全性极差,极不稳定的系统进行漏洞验证;
4、您可以根据相关漏洞提交页面的指引,向平台提交可能导致应用程序数据丢失和篡改、隐私泄露乃至金钱上的损失的安全漏洞信息,供平台工作人员以及相应漏洞厂商审核和确认;
5、您必须基于诚信原则向平台提交漏洞信息,您同意并确保该漏洞信息通过本服务述及的网页提交时,您是依据您自身所拥有的知识和技能,在公有领域通过合法正当的方式和途径发现该漏洞信息的存在,并没有采用窃取或任何不道德或非法的方式获得该等漏洞信息;简而言之,您对您所提交的漏洞信息所包含的全部权利的合法性作出保证。
6、您不得为任何非法目的而使用平台漏洞及平台漏洞提供的相关信息,具体要求如下:
7、您不得利用平台进行任何可能对厂商、互联网或移动网络正常运转造成不利影响的行为;
8、您不得利用平台提供的网络服务上传、展示或传播任何虚假的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、庸俗淫秽的或其他任何非法的信息资料;
9、您不得侵犯其他任何第三方的专利权、著作权、商标权、名誉权或其他任何合法权益;
10、您不得利用平台网络服务系统进行任何不利于平台的行为;
11、您不得利用平台漏洞服务和网站相关信息从事以下活动:
(1)未经允许,进入计算机信息网络或者使用计算机信息网络资源;
(2)未经允许,对计算机信息网络功能进行删除、修改或者增加;
(3)未经允许,对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
(4)故意制作、传播计算机病毒等破坏性程序;
(5)其他危害计算机信息网络安全的行为。
六、若您使用的某项服务中包含可下载的平台软件,则平台仅授予您非独占性的、不可转让的、非商业运营目的的个人使用许可。除非平台另有明示或与您另有约定外,您不得复制、修改、发布、出售或出租服务或所含软件的任何部分,也不得进行反向工程或试图提取该软件的源代码。
七、您在报告漏洞时,应根据本协议第一条,提供可供漏洞报告平台、信息系统管理方、软硬件厂商用于复现漏洞安全风险、审计技术验证行为的完整步骤信息。
八、在漏洞发现、报告和相关机构响应处置期间,您不应再向其他无关机构和个人传播已获知的漏洞风险信息。
九、涉及影响广泛的漏洞信息验证时,禁止研究机构、个人编写和传播违反本协议第一条指导原则、带有破坏性功能的漏洞验证代码和工具。
十、您将承诺不向其他机构、个人提交或披露受到商业测试合同条款保护的漏洞验证信息;不向任何机构和个人公开披露受到知识产权保护的软硬件产品源代码信息。
十一、网络安全众测平台将严格按照《中华人民共和国网络安全法》的相关条款规定,加强漏洞接收信息的审核和管理,及时排查、纠正、警示、处置有可能违反国家法律规定的漏洞测试行为,对涉嫌黑客地下产业活动及其他网络犯罪的情形,我平台将配合公安部门进行依法查处。
如您违反上述行为准则,平台除有权根据相关服务条款采取删除信息、中止合作等措施,并有权限制您账户部分或全部功能,如因您上述行为给平台造成损失的,您将予以赔偿。