湾区SRC众测局，微众银行SRC向你发出一封邀请！

1. 当发现入侵类风险后需告知微众银行，经授权后才能进行横向移动，未经授权禁止植入后门或者对内网其他主机进行测试，如内网扫描、主机提权、植入木马后门的行为；
   

2. 禁止用扫描器或其他自动化工具，只允许手工测试；禁止网络拒绝服务（DoS 或DDoS）测试；

3. 测试涉及敏感数据的漏洞时（如SQL注入、水平越权），应采取手工注入，且获取的数据量不能超过3条；

4. 获取网站的权限时，禁止修改代码文件或植入后门等操作；

5. 严禁利用漏洞下载/保存源代码、用户个人信息等敏感数据，若在不知情情况下下载，应及时告知微众SRC工作人员并删除；

6. 测试验证越权漏洞等逻辑风险时，请自行注册账号进行测试，务必控制测试范围，不得危害系统正常数据或影响正常用户使用；

7. 禁止进行物理测试、社会工程学测试或邮件钓鱼等任何其他非技术漏洞测试；

8. 在漏洞挖掘过程中，发现的相关漏洞应严格保密，禁止提交到其它的众测平台或对外发布；禁止利用发现漏洞实施非法活动；测试过程中发现的所有漏洞都需如实反馈，写进漏洞报告。

9. 测试过程不得损害业务正常运行，不得以测试漏洞借口尝试利用漏洞损害用户利益，影响业务的正常运行或盗取用户数据等行为。

10. 需要遵守《微众银行SRC用户服务协议》，勿将页面截图、功能模块详情等外传泄露；如违约，或者未按照规定进行安全测试，将扣除所属漏洞的全部奖励，并严格按照协议中的违约行为处理。 

如有发现以下情况，对应白帽子将会加入黑名单，微众银行保留有进一步追究法律责任的权力：

• 恶意利用漏洞故意泄漏微众银行数据行为；

• 利用漏洞恶意删除我行系统文件或数据，故意破坏微众银行系统行为；

• 发现微众银行漏洞提交到其它的众测平台或对外发布；

• 利用发现漏洞实施其它非法活动行为；

• 使用DDoS技术等暴力测试对微众银行系统进行攻击行为；

• 任何以漏洞测试为借口，利用安全漏洞进行破坏、损害用户及微众银行利益的攻击行为。

• *如遇到特殊情况，活动内容会及时进行调整；此活动最终解释权归微众银行SRC所有。