焦点科技渗透测试基本要求

焦点科技渗透测试基本要求 焦点科技授权您在不影响被测试系统正常运行、不危害系统及平台用户隐私及数据安全的情况下，以测试和评估系统安全性为目的收集漏洞。在测试过程中，您需注意如下事项： 【禁止利用漏洞批量获取用户隐私和数据】 1. 测试注入漏洞，只需证明可以读取数据即可，严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型，不允许使用自动化工具进行测试。  2. 测试越权漏洞，越权读取时，读取真实数据不超过5组，严禁进行批量读取。  3.  如果获取到系统管理员的账密并验证成功，需进一步安全测试，请咨询信息安全部相关人员，得到同意后进行测试。  4. 禁止利用漏洞进行拖库、随意大量增删改他人信息。  【禁止影响正常用户】 1. 帐号可注册的情况下，只允许用自己的2个帐号验证漏洞效果，请勿涉及线上正常用户的帐号，越权增删改，请使用测试帐号进行。 2. 在测试未限制发送短信或邮件次数等扫号类漏洞，测试成功的数量不超过50个。如果用户可以感知，例如会给用户发送登陆提醒短信，则不允许对他人真实手机号进行测试。  3. 存储xss漏洞，需插入不影响他人的测试payload，