十大SRC平台与SRC行业安全测试规范

这篇具有很好参考价值的文章主要介绍了十大SRC平台与SRC行业安全测试规范。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一.  SRC平台:

SRC平台整理

来源: SRCs|安全应急响应中心 - 0xsafe

1. 腾讯安全应急响应中心(TSRC, Tencent Security Response Center)​​​​​​​src平台,网络安全,web安全,安全,测试工具

官网:https://security.tencent.com

新浪微博:@腾讯安全应急响应中心

Twitter:@tsrc_team

微信公众号:腾讯安全应急响应中心

邮箱地址:security@tencent.com

TSRC安全测试规范

[TPSA21-48] TSRC安全测试规范 - 腾讯安全应急响应中心

2.阿里巴巴安全响应中心(ASRC, Alibaba Security Response Center)src平台,网络安全,web安全,安全,测试工具

官网:https://security.alibaba.com

新浪微博:@阿里安全应急响应中心

微信公众号:阿里安全应急响应中心

邮箱地址:security@service.alibaba.com

资产:https://security.alibaba.com/announcement/announcement?id=219

3.京东安全应急响应中心(JSRC, JD Security Response Center)src平台,网络安全,web安全,安全,测试工具

官网:http://security.jd.com

新浪微博:@京东安全应急响应中心

微信公众号:京东安全应急响应中心

邮箱地址:security@jd.com

4.百度安全应急响应中心(BSRC, Baidu Security Response Center)src平台,网络安全,web安全,安全,测试工具

官网:http://sec.baidu.com

新浪微博:@百度安全应急响应中心

微信公众号:百度安全应急响应中心

邮箱地址:security@baidu.com

5.360安全应急响应中心(360SRC, 360 Security Respnse Center)src平台,网络安全,web安全,安全,测试工具

官网:http://security.360.cn

新浪微博:@360安全应急响应中心

Twitter:@360SRC

微信公众号:360安全应急响应中心

邮箱地址:security@360.cn

6.小米安全中心(MiSRC, Xiaomi Security Center)src平台,网络安全,web安全,安全,测试工具

 官网:https://sec.xiaomi.com

新浪微博:@小米安全中心

微信公众号:小米安全中心

邮箱地址:security@xiaomi.com

7.唯品会安全应急响应中心(VSRC, VIP Security Respnse Center)src平台,网络安全,web安全,安全,测试工具

官网:https://sec.vip.com

新浪微博:@唯品会安全应急响应中心

微信公众号:唯品会安全应急响应中心

邮箱地址:sec@vipshop.com

8.爱奇艺安全应急响应中心(71SRC, iQIYI Security Response Center)src平台,网络安全,web安全,安全,测试工具

官网:https://security.iqiyi.com

新浪微博:@爱奇艺安全应急响应中心

邮箱地址:71src@qiyi.com

9.网易安全中心(NSC, NetEase Security Center)src平台,网络安全,web安全,安全,测试工具

官网:http://aq.163.com

新浪微博:@网易安全

微信公众号:网易安全应急响应中心

邮箱地址:security@corp.netease.com

10.滴滴出行安全应急响应中心(DSRC, DiDi Security Response Center)src平台,网络安全,web安全,安全,测试工具

官网:http://sec.didichuxing.com

新浪微博:@滴滴出行安全应急响应中心

微信公众号:滴滴出行安全应急响应中心

邮箱地址:sec@didichuxing.com

二. 平台准则:

​​​​​​​​​​​​​​​​​​​

适合的组织:
腾讯SRC、蚂蚁金服SRC、ASRC、阿里云先知、百度SRC、本地生活SRC、菜鸟SRC、滴滴SRC、京东SRC、LYSRC、蘑菇街SRC、陌陌SRC、360SRC、苏宁SRC、同舟共测-企业安全响应联盟、唯品会SRC、微博SRC、VIPKIDSRC、网易SRC、WiFi万能钥匙SRC、完美世界SRC、小米SRC

一、测试规范: 

1. 注入漏洞,只要证明可以读取数据就行,严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。

2. 越权漏洞,越权读取的时候,能读取到的真实数据不超过5组,严禁进行批量读取。

3. 帐号可注册的情况下,只允许用自己的2个帐号验证漏洞效果,不要涉及线上正常用户的帐号,越权增删改,请使用自己测试帐号进行。
帐号不可注册的情况下,如果获取到该系统的账密并验证成功,如需进一步安全测试,请咨询管理员得到同意后进行测试。

4. 存储xss漏洞,正确的方法是插入不影响他人的测试payload,严禁弹窗,推荐使用console.log,再通过自己的另一个帐号进行验证,提供截图证明。对于盲打类xss,仅允许外带domain信息。所有xss测试,测试之后需删除插入数据,如不能删除,请在漏洞报告中备注插入点。

5. 如果可以shell或者命令执行的,推荐上传一个文本证明,如纯文本的1.php、1.jsp等证明问题存在即可,禁止下载和读取服务器上任何源代码文件和敏感文件,不要执行删除、写入命令,如果是上传的webshell,请写明shell文件地址和连接口令。

6. 在测试未限制发送短信或邮件次数等扫号类漏洞,测试成功的数量不超过50个。如果用户可以感知,例如会给用户发送登陆提醒短信,则不允许对他人真实手机号进行测试。

7. 如需要进行具有自动传播和扩散能力漏洞的测试(如社交蠕虫的测试),只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号,防止蠕虫扩散。

8. 禁止对网站后台和部分私密项目使用扫描器。

9. 除特别获准的情况下,严禁与漏洞无关的社工,严禁进行内网渗透。

10. 禁止进行可能引起业务异常运行的测试,例如:IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。

11. 请不要对未授权厂商、未分配给自己的项目、超出测试范围的列表进行漏洞挖掘,可与管理员联系确认是否属于资产范围后进行挖掘,否则未授权的法律风险将由漏洞挖掘者自己承担。

12. 禁止拖库、随意大量增删改他人信息,禁止可对服务稳定性造成影响的扫描、使用将漏洞进行黑灰产行为等恶意行为。

13. 敏感信息的泄漏会对用户、厂商及上报者都产生较大风险,禁止保存和传播和业务相关的敏感数据,包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除。

14、尊重《中华人民共和国网络安全法》的相关规定。禁止一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的行为,包括但不限于威胁、恐吓SRC要公开漏洞或数据,请不要在任何情况下泄露漏洞测试过程中所获知的任何信息,漏洞信息对第三方披露请先联系SRC获得授权。企业将对违法违规者保留采取进一步法律行动的权利。

二, TSRC安全测试规范,以腾讯举例:

您在开展安全测试时,应当遵守以下规范要求:

1、 您仅可针对腾讯产品开展安全测试,同时,安全测试需要遵守《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及相关法律法规的规定,采取合法、正当的方式,不得侵犯任何第三方合法权益。

2、 您不得利用计算机病毒、网络攻击、网络侵入、干扰腾讯网络正常功能、窃取腾讯网络数据等危害网络安全行为的技术措施(包括但不限于程序、工具)开展安全测试,如上传恶意文件及木马、增删改其他用户个人数据、添加后门账号/权限、扫描攻击内网等渗透行为,不得对国家安全、国计民生、公共利益的关键信息基础设施产生任何危害。

3、 您在开展安全测试时不得窃取或者以其他非法方式获取任何腾讯或者其他第三方的商业信息(包括但不限于源代码、运营数据、用户资料等)、个人信息,不得非法出售或者非法向他人提供腾讯或者其他第三方的商业信息、个人信息。

4、 未经腾讯授权,您不得向任何第三方公开漏洞或提供任何与腾讯产品有关的安全情报。

5、 您还应当遵守《TSRC漏洞处理和评分标准》及《SRC行业安全测试规范》,重点强调以下几点:

(1)在测试过程中如包含数据获取功能时,包括但不限于 SQL 注入、用户资料的越权获取等,应尽可能的采取手动尝试,且获取的数据量不能超过 10 组。

(2)测试过程中获取的相关代码/数据,务必在TSRC漏洞确认后立即删除,禁止二次利用获取敏感信息。

(3)禁止进行可能引起业务异常运行的测试,不得进行拒绝服务攻击、大规模扫描等影响服务的可用性,不得篡改他人用户数据等影响业务的完整性。

(4)禁止使用可能造成业务影响的漏洞尝试工具和手法,请谨慎开展安全测试,严禁影响业务正常运行。

(5)测试越权漏洞或其他可能影响用户数据的操作时,请将尝试操作控制在自己创建的多个账号生成的内容中,不得影响线上业务其他用户的正常数据。

(6)禁止使用物理接触、社会工程学、钓鱼、水坑等不在TSRC 奖励计划允许范围内的攻击手段。

(7)请将所有测试操作和行为及时、如实、完整报告给TSRC,因故意瞒报、漏报等造成业务损害或潜在风险,TSRC保留追责权利。

处罚措施及法律责任:

1、 若您违反上述安全测试规范1次,TSRC将取消您当次漏洞奖励并处以严厉警告。

2、 当您出现以下情形时,TSRC将取消您已获得的所有荣誉,同时有权要求您返还所有奖励(包括但不限于安全币、荣誉称号及排名、年终奖励、日常关怀福利等):

(1)违反上述规范第1条;
(2)影响腾讯业务正常运转;
(3)任何原因累计违反上述安全测试规范3次及以上

3、 如果您没有遵守本规范,第三方或者国家机关可能会对您提起诉讼、罚款或采取其他制裁措施,并要求腾讯给予协助,您应当自行承担法律责任。

4、 如因您违反本规范引发的任何纠纷,导致或产生第三方主张的任何索赔、要求或损失,您应当独立承担责任;腾讯因此遭受损失的,您也应当一并赔偿。

5、 腾讯保留一切因您违反本规范而追究您法律责任的一切权利。文章来源地址https://www.toymoban.com/news/detail-521640.html

到了这里,关于十大SRC平台与SRC行业安全测试规范的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 中国网络安全硬件平台行业的发展历程以及未来前景

    过去多年时间里,我国IT产品非国产化依赖程度较高,核心技术的缺失导致信息安全、数据安全受到了威胁,随着我国信息技术的发展,逐步实现IT国产化替代,网络安全依旧是企业在业务发展时的重点关注领域。企业客户安全意识提升,网络安全市场需求上涨,网络安全硬件

    2024年02月11日
    浏览(49)
  • 市场需求上升,网络安全硬件平台行业逐渐占据主导地位

    互联网作为一个开放性平台,在大数据、云计算等信息技术发展下,数据互通共享成为常态,因此网络安全尤为重要,网络安全硬件平台作为保护网络安全的专业设备,经过20多年的发展,稳步增长,逐步占据行业的领先位置。 网络安全是指网络系统的硬件、软件及其系统中

    2024年02月11日
    浏览(48)
  • 安全应急响应中心SRC

    目录 安全应急响应中心SRC 一、SRC介绍 二、SRC准则 三、SRC评级 四、SRC公告和活动 五、SRC导航平台 六、企业SRC平台 ​安全应急响应中心(SRC, Security Response Center),是企业用于对外接收来自用户发现并报告的产品安全漏洞的站点。 SRC平台 ​报告平台是指由独立的第三方公司

    2024年02月03日
    浏览(44)
  • 【求职专用】安全应急响应中心src上榜记录

    新氧,2023,年3 合合,2023,年4 酷狗,2023,总5 新氧安全应急响应中心 (soyoung.com),2023,年3 合合安全应急响应中心 ISRC (intsig.com),2023,年4 酷狗安全应急响应中心 (kugou.com),2023,总5 滴滴,2023.Q4,季23 滴滴出行安全应急响应中心 (didichuxing.com),2023.Q4,季23 顺丰,2023.09,月

    2024年04月28日
    浏览(37)
  • 【零基础SRC】成为漏洞赏金猎人的第一课:加入玲珑安全漏洞挖掘班

    你是否对漏洞挖掘充满好奇?零基础或有基础但想更进一步?想赚取可观的漏洞赏金让自己有更大的自由度? 不妨了解下《玲珑安全团队》。 玲珑安全团队,拥有多名实力讲师,均就职于互联网头部公司以及国内国有企业,并荣获过多次SRC奖杯以及网鼎杯各赛事等荣誉。 玲

    2024年04月14日
    浏览(194)
  • 【Web安全】小白怎么快速挖到第一个漏洞,src漏洞挖掘经验分享,绝对干货!

    src漏洞挖掘经验分享 – 掌控安全以恒 一、公益src 公益src是一个白帽子提交随机发现的漏洞的品台,我们可以把我们随机发现或者是主动寻找到的漏洞在漏洞盒子进行提交。 在挖掘src的时候不能越红线,一般情况下遇到SQL注入 只获取数据库名字以证明漏洞的存在即可,最好

    2024年02月13日
    浏览(75)
  • 2023网络安全十大顶级工具

    从事网络安全工作,手上自然离不开一些重要的网络安全工具。今天,分享10大网络安全工具。 Kali 是一个基于 Debian 的 Linux 发行版。它的目标就是为了简单:在一个实用的工具包里尽可能多的包含渗透和审计工具。Kali 实现了这个目标。大多数做安全测试的开源工具都被囊括

    2024年02月04日
    浏览(47)
  • 网络安全漏洞管理十大度量指标

    当前,网络安全漏洞所带来的风险及产生的后果,影响到网络空间乃至现实世界的方方面面,通信、金融、能源、电力、铁路、医院、水务、航空、制造业等行业各类勒索、数据泄露、供应链、钓鱼等网络安全攻击事件层出不穷。因此,加强对漏洞管理的迫切性、重要性日趋

    2023年04月11日
    浏览(41)
  • 【网络安全】免费DDOS攻击测试工具_免费ddos平台攻击(1)

    它可以通过使用单个用户执行DOS攻击小型服务器,工具非常易于使用,即便你是一个初学者。这个工具执行DOS攻击通过发送UDP,TCP或HTTP请求到受害者服务器。你只需要知道服务器的IP地址或URL,其他的就交给这个工具吧。 下载: http://sourceforge.net/projects/loic/ 2、XOIC XOIC是另一个

    2024年04月26日
    浏览(44)
  • 聊聊十大网络安全上市公司,看F5拥有强大安全基因

    在应用数量爆炸式增长的当下,包括供应链攻击、零日漏洞及数据泄露在内的安全威胁随处可见。从传统应用到现代应用再到边缘、多云、多中心的安全防护,安全已成为企业数字化转型中的首要挑战。谈到十大网络安全上市公司,拥有强大安全基因的F5是不能忽视的。据统

    2024年02月03日
    浏览(53)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包