SRC 行业安全测试规范

这篇具有很好参考价值的文章主要介绍了SRC 行业安全测试规范。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

参与此标准制定的组织:
腾讯SRC、蚂蚁金服SRC、ASRC、阿里云先知、百度SRC、本地生活SRC、菜鸟SRC、滴滴SRC、京东SRC、LYSRC、蘑菇街SRC、陌陌SRC、360SRC、苏宁SRC、同舟共测-企业安全响应联盟、唯品会SRC、微博SRC、VIPKIDSRC、网易SRC、WiFi万能钥匙SRC、完美世界SRC、58SRC、小米SRC(排名不分先后)文章来源地址https://www.toymoban.com/news/detail-502853.html

  1. 注入漏洞,只要证明可以读取数据就行,严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。
  2. 越权漏洞,越权读取的时候,能读取到的真实数据不超过5组,严禁进行批量读取。
  3. 帐号可注册的情况下,只允许用自己的2个帐号验证漏洞效果,不要涉及线上正常用户的帐号,越权增删改,请使用自己测试帐号进行。帐号不可注册的情况下,如果获取到该系统的账密并验证成功,如需进一步安全测试,请咨询管理员得到同意后进行测试。
  4. 存储xss漏洞,正确的方法是插入不影响他人的测试payload,严禁弹窗,推荐使用console.log,再通过自己的另一个帐号进行验证,提供截图证明。对于盲打类xss,仅允许外带domain信息。所有xss测试,测试之后需删除插入数据,如不能删除,请在漏洞报告中备注插入点。
  5. 如果可以shell或者命令执行的,推荐上传一个文本证明,如纯文本的1.php、1.jsp等证明问题存在即可,禁止下载和读取服务器上任何源代码文件和敏感文件,不要执行删除、写入命令,如果是上传的webshell,请写明shell文件地址和连接口令。
  6. 在测试未限制发送短信或邮件次数等扫号类漏洞,测试成功的数量不超过50个。如果用户可以感知,例如会给用户发送登陆提醒短信,则不允许对他人真实手机号进行测试。
  7. 如需要进行具有自动传播和扩散能力漏洞的测试(如社交蠕虫的测试),只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号,防止蠕虫扩散。
  8. 禁止对网站后台和部分私密项目使用扫描器,禁止在生产系统中使用appscan、wvs或其他扫描工具进行登录扫描
  9. 除特别获准的情况下,严禁与漏洞无关的社工,严禁进行内网渗透。
  10. 禁止进行可能引起业务异常运行的测试,例如:IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。
  11. 请不要对未授权厂商、未分配给自己的项目、超出测试范围的列表进行漏洞挖掘,可与管理员联系确认是否属于资产范围后进行挖掘,否则未授权的法律风险将由漏洞挖掘者自己承担。
  12. 禁止拖库、随意大量增删改他人信息,禁止可对服务稳定性造成影响的扫描、使用将漏洞进行黑灰产行为等恶意行为。
  13. 敏感信息的泄漏会对用户、厂商及上报者都产生较大风险,禁止保存和传播和业务相关的敏感数据,包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除。
  14. 禁止向项目组以为的人员泄露客户的相关测试信息,包括客户名称、测试范围、测试结果等一切涉及项目的信息
  15. 测试中不能涉及非测试用户,不能对非测试用户进行测试,特别是不能破坏非测试用户数据完整性
  16. 测试仅限于确认漏洞的存在,禁止利用漏洞获取客户的生产数据(如客户要求进行漏洞验证,原则上不超过5条)
  17. 在测试SQL注入过程中,禁止使用对数据库造成破坏的语句,如DROP,DELETE,UPDATE,CREATE,INSERT等进行SQL注入测试
  18. 尊重《中华人民共和国网络安全法》的相关规定。禁止一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的行为,包括但不限于威胁、恐吓SRC要公开漏洞或数据,请不要在任何情况下泄露漏洞测试过程中所获知的任何信息,漏洞信息对第三方披露请先联系SRC获得授权。企业将对违法违规者保留采取进一步法律行动的权利。

到了这里,关于SRC 行业安全测试规范的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【网络安全】4.2 网络安全的标准和规范

    网络安全的标准和规范是网络安全领域的重要组成部分。它们为网络安全提供了技术依据,规定了网络安全的技术要求和操作方式,帮助我们构建安全的网络环境。下面,我们将详细介绍一些主要的网络安全标准和规范,以及它们在实际操作中的应用。 ISO/IEC 27000系列标准是

    2024年02月08日
    浏览(39)
  • 做测试一定要知道的——软件测试流程和测试规范标准文档

    目录 1、目的 2、工作范围 3、工作职责 4、测试的流程   5、测试准备阶段 6、测试方法制定阶段 7、测试执行阶段 8、bug管理 9、标准文档 总结感谢每一个认真阅读我文章的人!!! 重点:配套学习资料和视频教学 通过制定公司测试流程规范,确保测试工作的规范性和有效性

    2023年04月10日
    浏览(41)
  • 【压测指南|压力测试核心性能指标及行业标准】

    在做压力测试时,新手测试人员常常在看报告时倍感压力:这么多性能测试指标分别是什么意思,应该达到什么标准? 本文将结合实际压测报告,帮助您快速理解压测时的主要性能指标,了解如何解读该指标以及通常情况下应该达到的标准。 性能测试过程是模拟用户真实视

    2024年02月15日
    浏览(53)
  • 数据传输安全不达标:数据传输安全措施未达到行业标准

    引言 近年来随着信息技术的快速发展与普及应用, 企业、政府及个人的信息安全问题日益凸显出来; 其中数据安全是当前网络安全的焦点之一.本文针对数据传输安全问题进行分析并提出相应的解决方法来保障企业、个人等的数据安全性. 数据传输安全的定义和特点 **数据的完

    2024年02月02日
    浏览(58)
  • 【机密计算标准】GB/T 41388-2022 可信执行环境基础安全规范

    本文件确立了可信执行环境系统整体技术架构,描述了可信执行环境基础要求、可信虚拟化系统、可信操作系统、可信应用与服务管理、跨平台应用中间件等主要内容及其测试评价方法。 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款。其中,注日期的

    2024年02月16日
    浏览(48)
  • 一文了解支付卡行业数据安全标准(PCI DSS 4.0)新要求

    在接下来不到一年的时间里,将有越来越多的企业要遵守支付卡行业数据安全标准 (PCI DSS) 4.0 版的多项新要求。   PCI DSS 包含 12 项保护支付卡数据的要求,在过去十年中都没有更新。但经过三年的商讨,现在已经进行了重大改革。 最新版本4.0于 2022 年3月发布,目前与3.2.1版

    2024年02月04日
    浏览(41)
  • 【mmSegmentation】解耦语义分割模型,逐部分理解模型的构成与作用;规范开发和测试标准,增加模型的可复现性;让语义分割模型落地更稳

    语义分割作为计算机视觉中一项基础任务,同时在自动驾驶/视频编辑等领域中有重要的应用,因此一直受到学术界和工业界的广泛关注。在近几年的会议中,语义分割的论文层出不穷,但是市面上一直缺乏一款能够相对公平比较各种方法的框架。为了方便研究员和工程师们,

    2024年02月08日
    浏览(66)
  • 安全测试国家标准解读——函数调用安全、异常处理安全、指针安全

    下面的系列文章主要围绕 《GB/T 38674—2020 信息安全技术 应用软件安全编程指南》 进行讲解,该标准是2020年4月28日,由国家市场监督管理总局、国家标准化管理委员会发布,2020年11月01日开始实施。我们对该标准中一些常见的漏洞进行了梳理,大家感兴趣的话可以自己去下载

    2024年02月13日
    浏览(59)
  • ONES × 鲁邦通|打造研发一体化平台,落地组织级流程规范

    近日, ONES 签约工业互联网行业领先的解决方案提供商——鲁邦通 ,助力鲁邦通优化组织级流程规范,落地从需求到交付的全生命周期线上化管理。 依托于 ONES 一站式研发管理平台,鲁邦通在软硬件设计开发、项目管理和精益生产等方面的数字化水平显著提升,并实现了需

    2024年02月12日
    浏览(42)
  • 登录rabbitMQ管理界面时浏览器显示要求进行身份验证,与此站点连接不安全解决办法

        最近在黑马学习rabbitMQ的过程中,在使用docker部署好rabbitMQ后,使用账号为:itcast,密码为:123321 登录的时候浏览器显示了这个问题,如图所示: 当时以为自己需要输入自己的浏览器登录的账号进行验证,但是密码和账号输入后却显示         这就纳闷了,到底是什么原

    2024年02月08日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包