安全测试规范总则(转载)
(本文节选自漏洞平台平台)
-
测试过程不应影响厂商业务的正常运行,漏洞证明不应产生实质性的破坏和业务影响,不应进行会造成网站拒绝服务或访问异常的测试;
-
禁止对厂商进行社会工程学类攻击测试,不得欺骗欺诈被测厂商;
-
厂商未明确授权内网测试时,请勿进行内网渗透;
-
测试时不应使用不安全的测试方法和测试工具;
-
不应获取漏洞证明之外的数据;
-
不应公开或泄露任何厂商信息与测试任务信息;
-
测试过程中的不确定性风险,请优先在本地测试环境中验证操作,确保线上测试的安全性。如无法排除风险,应中止此类测试;
-
漏洞验证中,不得进行获取大量数据信息的操作,不造成网站异常,同时测试完成后,彻底删除存储到本地的测试信息和相关数据;
-
对于发送较多数据包的测试,需控制发包数量和发包频率,不应造成厂商业务异常。
操作类漏洞
针对于增加、删除、修改等可能造成网站业务异常的操作,安全测试方式说明如下:
- 增加类漏洞测试
对于造成网站数据增加的操作,如写入内容和上传文件等,测试时不能影响网站业务的运行,不应写入、上传较多条目。
- 删除类漏洞测试
对于可能造成网站文件或者数据内容删除的操作,请谨慎测试,不要影响网站业务运行。仅能删除自己上传的文件或自己的内容,不能删除目标的原始文件和内容,导致网站业务异常。
- 修改类漏洞测试
对于可能造成网站文件或者数据修改的操作,请谨慎测试,测试时仅能修改测试帐号的数据,请勿修改网站原始文件或者原始数据,导致网站异常。
- 其他
可获得后台权限的漏洞,测试时不能影响厂商的业务,不应随意增删改后台业务功能和数据。
逻辑类漏洞
- 支付类逻辑漏洞
对于支付类逻辑可能造成厂商直接经济损失的漏洞,需厂商明确授权此类漏洞可测试时才可进行测试,如厂商未明确授权测试支付逻辑漏洞,请勿测试。
如厂商明确授权可测试支付逻辑漏洞,测试时,为保障双方利益,请以小额商品进行测试,保障测试不会造成较大损失,收货地址请填写非真实地址(如“xxxxxxxxx”),确保厂商不会误操作发货,测试验证完成后,务必取消订单。如遇特殊情况,请及时告知漏洞银行运营人员。
- 转账类逻辑漏洞
不得转移正常用户的资金资产,测试过程中以测试帐号的方式进行该类漏洞的测试,并尽可能进行小额验证,同时测试完成后恢复正常业务。
- 重置密码漏洞
仅修改测试帐号的密码,勿修改网站其他用户帐号的密码。
SQL注入类漏洞
SQL注入漏洞测试除证明漏洞存在外,不得进行额外的数据操作,特别是添加、删除、修改等操作语句,不得擅自进行数据库的操作。
SQL注入漏洞,仅注入5条(含)以内数据,用以证明漏洞存在即可,不要下载大量数据,并且测试验证完成后,需彻底删除下载的验证数据。
若注入点为增、删、改可造成数据修改的类型注入,应明确使用的测试方法带来的后果,并在本地测试验证后再进行测试,如风险不确定,则不进行测试,以保证不影响网站正常业务运行。
Getshell类漏洞
不应进行可能造成厂商系统访问异常的测试,不应上传非必需的测试文件,不应修改厂商系统或数据信息。
上传文件不应带有不明确的功能,不使用不安全的第三方测试工具或平台。明确此种方式造成的数据泄露需承担相应的责任。
上传成功之后,仅做getshell证明,测试验证完成后,将shell彻底删除,若无法删除请在漏洞报告中进行标明shell地址。不得进行增删改系统帐号、提权等修改数据或系统的操作。禁止下载厂商的数据。厂商未明确授权内网测试时,请勿进行内网渗透。
越权类漏洞
-
越权获取数据仅获取5条以内的数据,用以证明漏洞存在即可,请勿下载大量数据,如若下载到本地,测试完成后需要彻底删除下载到本地的数据。
-
越权操作类漏洞,仅对测试用户的数据进行操作,切勿对厂商原始用户的数据进行越权操作,以确保厂商的正常业务。
任意文件下载类漏洞
仅下载用以证明的文件即可,请勿下载大量文件和数据,测试完成后请将下载到本地的文件彻底删除。
XSS类漏洞
XSS测试时,不使用安全性不明的测试工具和平台,确保测试过程中不会造成数据泄露等风险。
XSS测试时,不应影响网站的正常业务运行。测试验证5条(含)以内数据,完成后需删除相应的测试语句,并删除获取到的数据信息。
接口类漏洞
接口漏洞测试时,不应影响网站的正常业务。
对于短信轰炸、邮件轰炸,应控制在20条以内。
对于接口爆破,应限制发送频率,不影响网站的正常业务,不造成网站功能异常或者延迟。
其他问题
-
若测试过程中造成了对厂商实质性影响的操作,请第一时间联系漏洞银行运营人员,运营人员会第一时间协助进行事故损失的挽回。
-
若测试过程遇到无法确认的风险问题或本规范未定义清楚的情况,请第一时间咨询漏洞银行运营人员,在官方指导下进行安全测试。
