焦点科技渗透测试基本要求
58
2022-11-03
16 KB
3 页
资源简介
>
焦点科技渗透测试基本要求
焦点科技授权您在不影响被测试系统正常运行、不危害系统及平台用户隐私及数据安全的情况下,以测试和评估系统安全性为目的收集漏洞。在测试过程中,您需注意如下事项:
【禁止利用漏洞批量获取用户隐私和数据】
1. 测试注入漏洞,只需证明可以读取数据即可,严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。
2. 测试越权漏洞,越权读取时,读取真实数据不超过5组,严禁进行批量读取。
3. 如果获取到系统管理员的账密并验证成功,需进一步安全测试,请咨询信息安全部相关人员,得到同意后进行测试。
4. 禁止利用漏洞进行拖库、随意大量增删改他人信息。
【禁止影响正常用户】
1. 帐号可注册的情况下,只允许用自己的2个帐号验证漏洞效果,请勿涉及线上正常用户的帐号,越权增删改,请使用测试帐号进行。
2. 在测试未限制发送短信或邮件次数等扫号类漏洞,测试成功的数量不超过50个。如果用户可以感知,例如会给用户发送登陆提醒短信,则不允许对他人真实手机号进行测试。
3. 存储xss漏洞,需插入不影响他人的测试payload,
加载中...
已阅读到文档的结尾了