各位白帽师傅们好,
顺丰安全应急响应中心(简称SFSRC)一直致力于保护广大顺丰用户的信息安全,非常欢迎白帽师傅们向我们反馈顺丰系统和业务的安全漏洞,帮助我们提升系统和业务的安全性。
在SFSRC的持续运营中,我们注意到,尽管《SFSRC安全漏洞评分标准V6.1》中对“漏洞挖掘禁止项”有明确的禁止规定,但仍有个别白帽未能正确识别敏感的接口和操作,导致了对业务流程造成影响。
在测试可能对业务造成影响的功能时,应提前报备ip、注册的手机号,审核人员同意后再进行下一步操作。 对于越权接口的测试,应提前排除增删改等敏感操作的测试,禁止无差别对接口进行扫描探测。越权读取的时候,能读取到的真实数据不超过5组,严禁进行批量读取。 帐号可注册的情况下,只允许用自己的2个帐号验证漏洞效果,不要涉及线上正常用户的帐号,越权增删改,请使用自己测试帐号进行。帐号不可注册的情况下,如果获取到该系统的账密并验证成功,需进一步安全测试,请咨询SFSRC工作人员得到同意后进行测试。 禁止拖库、随意大量增删改他人信息,禁止使用对服务稳定性造成影响的扫描,进行将漏洞用于黑灰产行为等恶意行为。 测试业务逻辑漏洞时,禁止以测试名义进行薅羊毛,测试过程为验证漏洞有效性获取的福利或礼品应补充在报告里,否则按黑灰产业链进行处理。 在将漏洞报告对第三方披露前请先联系SFSRC获得授权,对外分享漏洞案例时禁止暴露顺丰SRC相关logo、系统、业务指向性明显的特征等信息。 注入漏洞,只要证明可以读取数据就行,严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。 存储xss漏洞,正确的方法是插入不影响他人的测试payload,严禁弹窗,推荐使用console.log,再通过自己的另一个帐号进行验证,提供截图证明。对于盲打类xss,仅允许外带domain信息。所有xss测试,测试之后需删除插入数据,如不能删除,请在漏洞报告中备注插入点。 如果可以shell或者命令执行的,推荐上传一个文本证明,如纯文本的1.php、1.jsp等证明问题存在即可,禁止下载和读取服务器上任何源代码文件和敏感文件,不要执行删除、写入命令,如果是上传的webshell,请写明shell文件地址和连接口令。 在测试未限制发送短信或邮件次数等扫号类漏洞,测试成功的数量不超过20个。如果用户可以感知,例如会给用户发送登陆提醒短信,则不允许对他人真实手机号进行测试。 如需要进行具有自动传播和扩散能力漏洞的测试(如社交蠕虫的测试),只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号,防止蠕虫扩散。 禁止对网站后台和部分私密项目使用扫描器。 除特别获准的情况下,严禁与漏洞无关的社工,严禁进行内网渗透。 禁止进行可能引起业务异常运行的测试,例如:可导致拒绝服务的漏洞测试以及DDOS攻击。 请不要对未授权厂商、未分配给自己的项目、超出测试范围的列表进行漏洞挖掘,可与SFSRC工作人员联系确认是否属于资产范围后进行挖掘,否则未授权的法律风险将由漏洞挖掘者自己承担。 敏感信息的泄漏会对用户、厂商及上报者都产生较大风险,禁止保存和传播和业务相关的敏感数据,包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除。 在将漏洞报告对第三方披露请先联系SFSRC获得授权,并在对外分享时禁止泄漏顺丰SRC相关logo、系统、特征指向性明显的业务、等信息 尊重《中华人民共和国网络安全法》等相关法律规定。禁止一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的行为,包括但不限于威胁、恐吓SFSRC要公开漏洞或数据,且禁止在任何情况下泄露漏洞测试过程中所获知的任何信息,漏洞信息对第三方披露请先联系SFSRC获得授权。公司将对违规违法者保留采取进一步法律行动的权利。
对于初次违规且影响较小的,给予警告; 对于二次违规或影响较大的,给予警告并扣除漏洞对应的所有奖励,公司将对违规违法者保留采取进一步法律行动的权利; 对于三次违规或情节恶劣的,扣除漏洞对应的所有奖励,永久封禁帐号,全网通报,联合公安机关进行调查取证处罚。
顺丰广大用户的信息安全离不开白帽师傅们的共同守护,最后再次感谢白帽师傅们在帮助提升系统和业务的安全性方面做出的不懈努力和贡献。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...