一. SRC平台:
SRC平台整理
泉源: SRCs|安全应急响应中心 - 0xsafe
1. 腾讯安全应急响应中心(TSRC, Tencent Security Response Center)
官网:https://security.tencent.com
新浪微博:@腾讯安全应急响应中心
Twitter:@tsrc_team
微信公众号:腾讯安全应急响应中心
邮箱地址:[security@tencent.com](/cdn-cgi/l/email-
protection#790a1c1a0c0b100d005f5a4f4d420d1c171a1c170d571a1614)
TSRC安全测试规范
[TPSA21-48] TSRC安全测试规范 -
腾讯安全应急响应中心
2.阿里巴巴安全响应中心(ASRC, Alibaba Security Response Center)
官网:https://security.alibaba.com
新浪微博:@阿里安全应急响应中心
微信公众号:阿里安全应急响应中心
邮箱地址:[security@service.alibaba.com](/cdn-cgi/l/email-
protection#1e6d7b7d6b6c776a67383d282a256d7b6c68777d7b307f72777c7f7c7f307d7173)
资产:https://security.alibaba.com/announcement/announcement?id=219
3.京东安全应急响应中心(JSRC, JD Security Response Center)
官网:http://security.jd.com
新浪微博:@京东安全应急响应中心
微信公众号:京东安全应急响应中心
邮箱地址:[security@jd.com](/cdn-cgi/l/email-
protection#e497818791968d909dc2c7d2d0df8e80ca878b89)
4.百度安全应急响应中心(BSRC, Baidu Security Response Center)
官网:http://sec.baidu.com
新浪微博:@百度安全应急响应中心
微信公众号:百度安全应急响应中心
邮箱地址:[security@baidu.com](/cdn-cgi/l/email-
protection#d2a1b7b1a7a0bba6abf4f1e4e6e9b0b3bbb6a7fcb1bdbf)
5.360安全应急响应中心(360SRC, 360 Security Respnse Center)
官网:http://security.360.cn
新浪微博:@360安全应急响应中心
Twitter:@360SRC
微信公众号:360安全应急响应中心
邮箱地址:[security@360.cn](/cdn-cgi/l/email-
protection#f08395938582998489d6d3c6c4cbc3c6c0de939e)
6.小米安全中心(MiSRC, Xiaomi Security Center)
官网:https://sec.xiaomi.com
新浪微博:@小米安全中心
微信公众号:小米安全中心
邮箱地址:[security@xiaomi.com](/cdn-cgi/l/email-
protection#681b0d0b1d1a011c114e4b5e5c53100109070501460b0705)
7.唯品会安全应急响应中心(VSRC, VIP Security Respnse Center)
官网:https://sec.vip.com
新浪微博:@唯品会安全应急响应中心
微信公众号:唯品会安全应急响应中心
邮箱地址:[sec@vipshop.com](/cdn-cgi/l/email-
protection#c5b6a0a6e3e6f3f1feb3acb5b6adaab5eba6aaa8)
8.爱奇艺安全应急响应中心(71SRC, iQIYI Security Response Center)
官网:https://security.iqiyi.com
新浪微博:@爱奇艺安全应急响应中心
邮箱地址:[71src@qiyi.com](/cdn-cgi/l/email-
protection#0d3a3c7e7f6e2b2e3b39367c647464236e6260)
9.网易安全中心(NSC, NetEase Security Center)
官网:http://aq.163.com
新浪微博:@网易安全
微信公众号:网易安全应急响应中心
邮箱地址:[security@corp.netease.com](/cdn-cgi/l/email-
protection#ff8c9a9c8a8d968b86d9dcc9cbc49c908d8fd1919a8b9a9e8c9ad19c9092)
10.滴滴出行安全应急响应中心(DSRC, DiDi Security Response Center)
官网:http://sec.didichuxing.com
新浪微博:@滴滴出行安全应急响应中心
微信公众号:滴滴出行安全应急响应中心
邮箱地址:[sec@didichuxing.com](/cdn-cgi/l/email-
protection#15667076333623212e717c717c767d606d7c7b723b767a78)
二. 平台准则:
适合的构造:****
腾讯SRC、蚂蚁金服SRC、ASRC、阿里云先知、百度SRC、本地生活SRC、菜鸟SRC、滴滴SRC、京东SRC、LYSRC、蘑菇街SRC、陌陌SRC、360SRC、苏宁SRC、同舟共测-
企业安全响应同盟、唯品会SRC、微博SRC、VIPKIDSRC、网易SRC、WiFi万能钥匙SRC、完善世界SRC、小米SRC
一、测试规范:
1. 注入毛病,只要证明可以读取数据就行,严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型,不允许使用主动化工具举行测试。
2. 越权毛病,越权读取的时候,能读取到的真实数据不凌驾5组,严禁举行批量读取。
3. 帐号可注册的情况下,只允许用本身的2个帐号验证毛病效果,不要涉及线上正常用户的帐号,越权增编削,请使用本身测试帐号举行。
帐号不可注册的情况下,如果获取到该体系的账密并验证成功,如需进一步安全测试,请咨询管理员得到同意后举行测试。
4.
存储xss毛病,精确的方法是插入不影响他人的测试payload,严禁弹窗,推荐使用console.log,再通过本身的另一个帐号举行验证,提供截图证明。对于盲打类xss,仅允许外带domain信息。全部xss测试,测试之后需删除插入数据,如不能删除,请在毛病陈诉中备注插入点。
5.
如果可以shell或者下令实行的,推荐上传一个文本证明,如纯文本的1.php、1.jsp等证明题目存在即可,禁止下载和读取服务器上任何源代码文件和敏感文件,不要实行删除、写入下令,如果是上传的webshell,请写明shell文件地址和连接口令。
6.
在测试未限制发送短信或邮件次数等扫号类毛病,测试成功的数量不凌驾50个。如果用户可以感知,比方会给用户发送登陆提醒短信,则不允许对他人真实手机号举行测试。
7. 如必要举行具有主动传播和扩散本领毛病的测试(如社交蠕虫的测试),只允许使用和其他账号隔离的小号举行测试。不要使用有社交关系的账号,防止蠕虫扩散。
8. 禁止对网站后台和部门私密项目使用扫描器。
9. 除特殊获准的情况下,严禁与毛病无关的社工,严禁举行内网排泄。
10. 禁止举行可能引起业务异常运行的测试,比方:IIS的拒绝服务等可导致拒绝服务的毛病测试以及DDOS攻击。
11.
请不要对未授权厂商、未分配给本身的项目、超出测试范围的列表举行毛病发掘,可与管理员联系确认是否属于资产范围后举行发掘,否则未授权的法律风险将由毛病发掘者本身承担。
12. 禁止拖库、随意大量增编削他人信息,禁止可对服务稳固性造成影响的扫描、使用将毛病举行黑灰产行为等恶意行为。
13. 敏感信息的走漏会对用户、厂商及上报者都产生较大风险,禁止保存和传播和业务相干的敏感数据,包括但不限于业务服务器以及Github
等平台泄露的源代码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除。
14、尊重《中华人民共和国网络安全法》的相干规定。禁止齐备以毛病测试为借口,使用安全毛病举行破坏、损害用户利益的行为,包括但不限于威胁、吓唬SRC要公开毛病或数据,请不要在任何情况下泄露毛病测试过程中所获知的任何信息,毛病信息对第三方披露请先联系SRC得到授权。企业将对违法违规者保留采取进一步法律办法的权利。
二, TSRC安全测试规范,以腾讯举例:
您在开展安全测试时,应当遵守以下规范要求:
1、
您仅可针对腾讯产品开展安全测试,同时,安全测试必要遵守《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及相干法律法规的规定,采取合法、合法的方式,不得侵犯任何第三方合法权益。
2、
您不得使用计算机病毒、网络攻击、网络侵入、干扰腾讯网络正常功能、窃取腾讯网络数据等危害网络安全行为的技术措施(包括但不限于程序、工具)开展安全测试,如上传恶意文件及木马、增编削其他用户个人数据、添加后门账号/权限、扫描攻击内网等排泄行为,不得对国家安全、国计民生、公共利益的关键信息基础设施产生任何危害。
3、
您在开展安全测试时不得窃取或者以其他非法方式获取任何腾讯或者其他第三方的贸易信息(包括但不限于源代码、运营数据、用户资料等)、个人信息,不得非法出售或者非法向他人提供腾讯或者其他第三方的贸易信息、个人信息。
4、 未经腾讯授权,您不得向任何第三方公开毛病或提供任何与腾讯产品有关的安全谍报。
5、
您还应当遵守《TSRC毛病处理和评分标准》及《SRC行业安全测试规范》,重点强调以下几点:
(1)在测试过程中如包罗数据获取功能时,包括但不限于 SQL 注入、用户资料的越权获取等,应尽可能的采取手动实验,且获取的数据量不能凌驾 10 组。
(2)测试过程中获取的相干代码/数据,务必在TSRC毛病确认后立刻删除,禁止二次使用获取敏感信息。
(3)禁止举行可能引起业务异常运行的测试,不得举行拒绝服务攻击、大规模扫描等影响服务的可用性,不得篡改他人用户数据等影响业务的完备性。
(4)禁止使用可能造成业务影响的毛病实验工具和手法,请审慎开展安全测试,严禁影响业务正常运行。
(5)测试越权毛病或其他可能影响用户数据的操作时,请将实验操作控制在本身创建的多个账号生成的内容中,不得影响线上业务其他用户的正常数据。
(6)禁止使用物理接触、社会工程学、钓鱼、水坑等不在TSRC 嘉奖筹划允许范围内的攻击本领。
(7)请将全部测试操作和行为及时、如实、完备陈诉给TSRC,因故意瞒报、漏报等造成业务损害或潜在风险,TSRC保留追责权利。
处罚措施及法律责任:
1、 若您违反上述安全测试规范1次,TSRC将取消您当次毛病嘉奖并处以严肃告诫。
2、 当您出现以下情况时,TSRC将取消您已得到的全部荣誉,同时有权要求您返还全部嘉奖(包括但不限于安全币、荣誉称号及排名、年终嘉奖、一样平常关怀福利等):
(1)违反上述规范第1条;
(2)影响腾讯业务正常运转;
(3)任何缘故起因累计违反上述安全测试规范3次及以上
3、 如果您没有遵守本规范,第三方或者国家构造可能会对您提告状讼、罚款或采取其他制裁措施,并要求腾讯给予帮忙,您应当自行承担法律责任。
4、 如因您违反本规范引发的任何纠纷,导致或产生第三方主张的任何索赔、要求或损失,您应当独立承担责任;腾讯因此遭受损失的,您也应当一并赔偿。
5、 腾讯保留齐备因您违反本规范而追究您法律责任的齐备权利。
学习网络安全技术的方法无非三种:
第一种是报网络安全专业,现在叫网络空间安全专业,重要专业课程:程序设计、计算机组成原理原理、数据结构、操作体系原理、数据库体系、 计算机网络、人工智能、自然语言处理、社管帐算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不外这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉本身没有进步,容易劝退。
如果你对网络安全入门感兴趣,那么你必要的话可以点击这里 |
