安全测试规范总则(转载)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全测试规范总则(转载)
(本⽂节选⾃漏洞平台平台)
1. 测试过程不应影响⼚商业务的正常运⾏,漏洞证明不应产⽣实质性的破坏和业务影响,不应进⾏会造成⽹站拒绝服务或访问异常的测
试;
2. 禁⽌对⼚商进⾏社会⼯程学类攻击测试,不得欺骗欺诈被测⼚商;
3. ⼚商未明确授权内⽹测试时,请勿进⾏内⽹渗透;
4. 测试时不应使⽤不安全的测试⽅法和测试⼯具;
5. 不应获取漏洞证明之外的数据;
6. 不应公开或泄露任何⼚商信息与测试任务信息;
7. 测试过程中的不确定性风险,请优先在本地测试环境中验证操作,确保线上测试的安全性。
如⽆法排除风险,应中⽌此类测试;
8. 漏洞验证中,不得进⾏获取⼤量数据信息的操作,不造成⽹站异常,同时测试完成后,彻底删除存储到本地的测试信息和相关数据;
9. 对于发送较多数据包的测试,需控制发包数量和发包频率,不应造成⼚商业务异常。
操作类漏洞
针对于增加、删除、修改等可能造成⽹站业务异常的操作,安全测试⽅式说明如下:
1. 增加类漏洞测试
对于造成⽹站数据增加的操作,如写⼊内容和上传⽂件等,测试时不能影响⽹站业务的运⾏,不应写⼊、上传较多条⽬。
2. 删除类漏洞测试
对于可能造成⽹站⽂件或者数据内容删除的操作,请谨慎测试,不要影响⽹站业务运⾏。
仅能删除⾃⼰上传的⽂件或⾃⼰的内容,不能删除⽬标的原始⽂件和内容,导致⽹站业务异常。
3. 修改类漏洞测试
对于可能造成⽹站⽂件或者数据修改的操作,请谨慎测试,测试时仅能修改测试帐号的数据,请勿修改⽹站原始⽂件或者原始数据,导致⽹站异常。
4. 其他
可获得后台权限的漏洞,测试时不能影响⼚商的业务,不应随意增删改后台业务功能和数据。
逻辑类漏洞
1. ⽀付类逻辑漏洞
对于⽀付类逻辑可能造成⼚商直接经济损失的漏洞,需⼚商明确授权此类漏洞可测试时才可进⾏测试,如⼚商未明确授权测试⽀付逻辑漏洞,请勿测试。
如⼚商明确授权可测试⽀付逻辑漏洞,测试时,为保障双⽅利益,请以⼩额商品进⾏测试,保障测试不会造成较⼤损失,收货地址请填写⾮真实地址(如“xxxxxxxxx”),确保⼚商不会误操作发货,测试验证完成后,务必取消订单。
如遇特殊情况,请及时告知漏洞银⾏运营⼈员。
2. 转账类逻辑漏洞
不得转移正常⽤户的资⾦资产,测试过程中以测试帐号的⽅式进⾏该类漏洞的测试,并尽可能进⾏⼩额验证,同时测试完成后恢复正常业务。
3. 重置密码漏洞
仅修改测试帐号的密码,勿修改⽹站其他⽤户帐号的密码。
SQL注⼊类漏洞
SQL注⼊漏洞测试除证明漏洞存在外,不得进⾏额外的数据操作,特别是添加、删除、修改等操作语句,不得擅⾃进⾏数据库的操作。
SQL注⼊漏洞,仅注⼊5条(含)以内数据,⽤以证明漏洞存在即可,不要下载⼤量数据,并且测试验证完成后,需彻底删除下载的验证数据。
若注⼊点为增、删、改可造成数据修改的类型注⼊,应明确使⽤的测试⽅法带来的后果,并在本地测试验证后再进⾏测试,如风险不确定,则不进⾏测试,以保证不影响⽹站正常业务运⾏。
Getshell类漏洞
不应进⾏可能造成⼚商系统访问异常的测试,不应上传⾮必需的测试⽂件,不应修改⼚商系统或数据信息。
上传⽂件不应带有不明确的功能,不使⽤不安全的第三⽅测试⼯具或平台。
明确此种⽅式造成的数据泄露需承担相应的责任。
上传成功之后,仅做getshell证明,测试验证完成后,将shell彻底删除,若⽆法删除请在漏洞报告中进⾏标明shell地址。
不得进⾏增删改系统帐号、提权等修改数据或系统的操作。
禁⽌下载⼚商的数据。
⼚商未明确授权内⽹测试时,请勿进⾏内⽹渗透。
越权类漏洞
1. 越权获取数据仅获取5条以内的数据,⽤以证明漏洞存在即可,请勿下载⼤量数据,如若下载到本地,测试完成后需要彻底删除下载到
本地的数据。
2. 越权操作类漏洞,仅对测试⽤户的数据进⾏操作,切勿对⼚商原始⽤户的数据进⾏越权操作,以确保⼚商的正常业务。
任意⽂件下载类漏洞
仅下载⽤以证明的⽂件即可,请勿下载⼤量⽂件和数据,测试完成后请将下载到本地的⽂件彻底删除。
XSS类漏洞
XSS测试时,不使⽤安全性不明的测试⼯具和平台,确保测试过程中不会造成数据泄露等风险。
XSS测试时,不应影响⽹站的正常业务运⾏。
测试验证5条(含)以内数据,完成后需删除相应的测试语句,并删除获取到的数据信息。
接⼝类漏洞
接⼝漏洞测试时,不应影响⽹站的正常业务。
对于短信轰炸、邮件轰炸,应控制在20条以内。
对于接⼝爆破,应限制发送频率,不影响⽹站的正常业务,不造成⽹站功能异常或者延迟。
其他问题
1. 若测试过程中造成了对⼚商实质性影响的操作,请第⼀时间联系漏洞银⾏运营⼈员,运营⼈员会第⼀时间协助进⾏事故损失的挽回。
2. 若测试过程遇到⽆法确认的风险问题或本规范未定义清楚的情况,请第⼀时间咨询漏洞银⾏运营⼈员,在官⽅指导下进⾏安全测试。