帮助中心 > 问题列表 > 《白帽自律行为准则规范》

《白帽自律行为准则规范》

前言:

“白帽子,描述的是正面的黑客,他可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是直接向厂商公布其漏洞。这样,厂商将可以在被其他人(例如黑帽子)利用之前来修补漏洞”

以上是官方对白帽子的定义,而厂商和白帽子的关系也应该是共同促进,一方面白帽子能帮助厂商提高安全,另一方面厂商也可以与白帽子进行一些精神、物质方面的合作。然而,当厂商发现部分“白帽”的测试,有时会导致数据泄露、破坏以及做一些有争议的事情,有的黑客甚至有些打着白帽子的旗号,去拖库、交易这些数据,厂商与白帽子的矛盾在极端场景下便会激活、爆发乃至相关部门介入,从而导致不可挽回的后果。

每个行业都有相应的法律限制,网络安全从业人员更应搞清楚这些法律条文,才能在安全服务员过程中做到没有后顾之忧。

2017年《中华人民共和国网络安全法》正式颁布实施,从法律层面加强和规范网络安全的监管。

守法第一,责任为先。网络尖刀通过搜集、整理并编撰《白帽自律行为准则规范(初稿)》,旨在帮助白帽子规范其自身行为,在避免法律风险的基础上与厂商建立牢固的互相信任的合作机制。

注:附言为国内22家安全应急响应中心(SRC)共同制定的《SRC行业安全测试规范》,供参考。

第一条 白帽的行为和义务

1.1、您在使用知安产品和服务或进行漏洞收集、提交或发布时,应当遵守宪法、法律、法规和规章、公共秩序和社会公德以及本协议的规定,不得影响知安产品和服务的正常运行,不得侵害知安产品和服务的用户隐私和数据安全,不得危害网络安全。

1.2、您不得利用知安产品和服务或在漏洞收集过程中从事包括但不限于危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分列国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

1.3、您是以研究和测试为目的进行漏洞发现和收集活动,基于诚信原则提交漏洞信息,并确保您是依据您自身所拥有的知识和技能,通过合法正当的方式和途径发现该漏洞信息的存在,您保证您所提交的漏洞信息所包含的全部权利为合法。

1.4、您对您发现、收集、提交或发布漏洞等的研究或评估的方式、方法、工具及手段的合法性负责,知安对此不承担任何法律责任。

1.5、在进行漏洞收集、测试过程中,不得非法侵入知安网络、干扰知安产品和服务的正常功能、窃取用户数据等;不得提供专门用于侵入知安网络、干扰知安产品和服务正常功能、窃取用户数据等的程序和工具;并不得为他人从事上述危害活动提供技术支持等帮助。

1.6、您不得窃取或以其他非法方式获取知安产品和服务的用户信息,不得非法出售或者非法向他人提供知安产品和服务的用户信息。

1.7、您在知安平台提交的漏洞报告等的所有权及全部知识产权归知安所有。未经知安书面许可,您不得自行使用、向任何第三方披露或允许第三方使用上述漏洞报告和该等知识产权。如您违反本条规定,知安有权追回向您发放的所有奖励并追究您的法律责任。

1.8、对您在发现、收集、提交或发布漏洞及本协议履行过程中所知悉的知安的技术秘密和商业秘密(以下简称“保密信息”),无论在本协议期限内还是本协议终止后,您均负有严格的保密义务。您保证,您所知悉的所有知安的保密信息只用于本协议的目的,不得用于其他任何目的。未经知安事先书面授权,您不得自行使用,或以任何方式向第三方披露、转让、许可使用、交换、赠与或与任何其他第三方共同或以任何其他方式使用该等保密信息。如您违反本条规定,知安有权追回向您发放的所有奖励,并追究您的法律责任。


第二条 测试前的授权、协议合同

1.1、测试前,应明确具体测试厂商,在未得到该厂商授权的情况下,严禁对任何系统进行渗透测试;

1.2、若参与如众测平台等第三方的安全测试,应明确该平台是否获得厂商的授权,且白帽子是否获得平台授权;在平台未得到厂商授权或白帽子未得到平台授权的情况下,严禁对该厂商的任何系统进行渗透测试;

1.3、测试厂商应提供测试内容,测试内容必须包含:测试范围、测试开始及结束时间、负责人等,白帽子需严格按照测试内容的规定进行渗透测试,不可超出测试范围及测试时间;

1.4、测试前,需与测试厂商明确对可恢复错误, 拒绝服务, 社交工程等测试手段的许可;

1.5、测试前,充分了解测试工具的数据缓存机制,避免因数据缓存而造成的不必要的麻烦。


第三条 测试中的过程、技术手段、漏洞验证

1.1、白帽子在漏洞发现与技术验证过程中必须要保证研究漏洞的方法、方式、工具及手段的合法性;

1.2、在漏洞挖掘时实现非授权访问或用户权限越权,在完成非授权逻辑、越权逻辑验证时,严禁再获取和留存用户信息和信息系统文件信息;

1.3、白帽子在漏洞挖掘时可执行数据库查询条件,获得数据库实例、库表名称等信息证明时,严禁再查询和留存涉及个人信息、业务信息的详细数据

1.4、禁止利用漏洞或情报批量获取用户隐私和业务数据;

1.5、对于扫描器进行高强度自动化扫描,需和测试厂商沟通确认,并告知测试厂商有可能产生的业务影响;

1.6、禁止在测试过程中篡改、增加、删除数据等可能损害业务正常运行的操作;

1.7、禁止利用漏洞或情报做内网或横向渗透,上传后门、木马、病毒等;

1.8、在做测试的过程中,尽可能保留测试过程,当有问题发生时,避免一些不必要的麻烦。


第四条 测试后的漏洞报告、保密行为

1.1、白帽子对测试厂商的机密信息以及安全测试结果具有保密的责任;

1.2、测试完成后,白帽子应将测试过程和影响以文档等任何约定的形式,第一时间告知厂商或项目对接人;

1.3、白帽子在未获得测试厂商的授权下,不得对外公开有关厂商的任何企业信息;

1.4、白帽子在未获得测试厂商的授权下,不得对外公开披露任何和漏洞有关的细节;

1.5、在任何时候,白帽子都不得拖库、交易厂商数据。


第五条 其他行为规范

1.1、不可通过恐吓、威胁等方式达到安全渗透服务的目的;

1.2、对于灰黑产业,不提供安全服务;

1.3、对于未公开漏洞,严禁通过任何途径传播其漏洞有关的任何细节,严禁传播POC和EXP;

1.4、禁止将自己或他人的的木马、病毒等传播到网上,这属于提供危害网络安全活动的程序、工具,属于违法行为,将面临法律责任;

1.5、向他人提供技术支持时需谨慎,如他人利用该技术支持进行如窃取网站数据等违法行为,作为技术支持方,白帽子一样会面临法律责任;

1.6、白帽子在网上传播自己或他人的程序时,如程序中有恶意代码,导致大量用户中招损失,会面临严重的法律责任;

1.7、白帽子无意中发现厂商的漏洞,应第一时间通知该厂商,切不可进行入侵、窃取数据、干扰正常业务功能等任何行为,且不可对外公布任何漏洞细节;

1.8、白帽子无意中发现的涉及国家关键信息基础设施的系统漏洞时,应该第一时间联系有关部门,如国家互联网应急中心,切不可进行入侵、窃取数据、干扰正常业务功能等任何行为,且不可对外公布任何漏洞细节;

1.9、白帽子在境外对中国境内的能源基础设施做渗透,造成系统瘫痪,也会面临法律责任。


附言:


《SRC行业安全测试规范》


参与此标准制定的组织:

菜鸟SRC、蚂蚁金服SRC、ASRC、阿里云先知、京东SRC、本地生活SRC、同舟共测-企业安全响应联盟、知安SRC、百度SRC、360SRC、小米SRC、滴滴SRC、苏宁SRC、唯品会SRC、微博SRC、美丽联合SRC、网易SRC、VIPKIDSRC、vivoSRC、WiFi万能钥匙SRC、完美世界SRC、爱奇艺SRC

一、测试规范:

1、注入漏洞,只要证明可以读取数据就行,严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。

2、越权漏洞,越权读取的时候,能读取到的真实数据不超过5组,严禁进行批量读取。

3、帐号可注册的情况下,只允许用自己的2个帐号验证漏洞效果,不要涉及线上正常用户的帐号,越权增删改,请使用自己测试帐号进行。帐号不可注册的情况下,如果获取到该系统的账密并验证成功,如需进一步安全测试,请咨询管理员得到同意后进行测试。

4、存储xss漏洞,正确的方法是插入不影响他人的测试payload,严禁弹窗,推荐使用console.log,再通过自己的另一个帐号进行验证,提供截图证明。对于盲打类xss,仅允许外带domain信息。所有xss测试,测试之后需删除插入数据,如不能删除,请在漏洞报告中备注插入点。

5、如果可以shell或者命令执行的,推荐上传一个文本证明,如纯文本的1.php、1.jsp等证明问题存在即可,禁止下载和读取服务器上任何源代码文件和敏感文件,不要执行删除、写入命令,如果是上传的webshell,请写明shell文件地址和连接口令。

6、在测试未限制发送短信或邮件次数等扫号类漏洞,测试成功的数量不超过50个。如果用户可以感知,例如会给用户发送登陆提醒短信,则不允许对他人真实手机号进行测试。

7、如需要进行具有自动传播和扩散能力漏洞的测试(如社交蠕虫的测试),只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号,防止蠕虫扩散。

8、禁止对网站后台和部分私密项目使用扫描器。

9、除特别获准的情况下,严禁与漏洞无关的社工,严禁进行内网渗透。

10、禁止进行可能引起业务异常运行的测试,例如:IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。

11、请不要对未授权厂商、未分配给自己的项目、超出测试范围的列表进行漏洞挖掘,可与管理员联系确认是否属于资产范围后进行挖掘,否则未授权的法律风险将由漏洞挖掘者自己承担。

12、禁止拖库、随意大量增删改他人信息,禁止可对服务稳定性造成影响的扫描、使用漏洞进行黑灰产行为等恶意行为。

13、敏感信息的泄漏会对用户、厂商及上报者都产生较大风险,禁止保存和传播和业务相关的敏感数据,包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除。

14、尊重《中华人民共和国网络安全法》的相关规定。禁止一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的行为,包括但不限于威胁、恐吓SRC要公开漏洞或数据,请不要在任何情况下泄露漏洞测试过程中所获知的任何信息,漏洞信息对第三方披露请先联系SRC获得授权。企业将对违法违规者保留采取进一步法律行动的权利。


成都心中有数科技有限公司

V1.0版本 2020-06-25