火线众测项目执行规范
前言
为了白帽子用户更好的项目体验以及测试规范化,特制订本文档为测试人员提供参考,请确认已知晓全部内容后再进行测试,如有不足之处也欢迎大家向平台反馈。
违规行为
- 禁止高线程扫描和高并发测试,如果影响厂商业务,首次给与口头警告,严重者扣除对应的漏洞奖金。
- 禁止cc攻击,ddos攻击,如果影响厂商业务,首次给与口头警告,厂商有权向公安机关申请立案调查。
- 涉及到支付以及商品兑换场景,应及时向厂商报备并返还漏洞测试所得金额或物品。
- 越权或sql注入等可以获取敏感数据的漏洞,应采取手工测试且数据量不超过10组,发现有违规渗透行为者扣除项目所有漏洞奖金,并移出项目,厂商有权向公安机关申请立案调查。
- 私密众测未经允许在公开场合讨论/公开发布/传播项目相关信息及漏洞细节,首次给与口头警告,严重者永久封号。
- 禁止以测试名义恶意利用漏洞攻击的行为,平台有权扣除恶意攻击者当前项目的所有奖励并转交厂商处理。
处罚措施
- 违反保密协议的行为,除法定的赔偿外,厂商有权对任何实际或者可能发生的违反保密协议的行为,向有管辖权人民法院申请禁止令或其他救济。
- 违反厂商测试红线或注意事项的行为,取消该白帽子所在项目的奖金,并移出项目,严重者一个月内禁止参加平台项目。
- 发现入侵类风险后需周知火线,发现有违规渗透行为者扣除项目所有漏洞奖金,并移出项目,厂商有权向公安机关申请立案调查。
- 禁止造谣、恶意诋毁的行为,违者封号一个月,严重者永久封号,且平台和厂商有权向公安机关申请立案调查。
- 项目没有特别说明的情况下,禁止一切物理攻击、社会工程学欺骗、内网渗透或其他与漏洞无关的测试行为,发现有违规渗透行为者扣除项目所有漏洞奖金,并移出项目,厂商有权向公安机关申请立案调查。