补天漏洞响应平台

白帽子行为规范

在互联网大环境下,补天漏洞响应平台(以下简称为“补天平台”)作为中立、公益、负责的第三方漏洞响应平台,我们坚持为白帽子提供公益性平台,为企业网络保驾护航。白帽子在补天平台发现以及提交漏洞是应遵守此《白帽子行为规则》。

为加强平台注册白帽子身份界定,建立白帽子认证和管理机制,白帽子注册时必须通过Email的验证,并确保认证信息的真实性和可靠性。

白帽子在使用补天平台的相关服务时,必须遵守中华人民共和国相关法律法规的规定,白帽子应同意将不会利用本平台进行任何违法或不正当的活动,并应承诺遵守下列条款(包括但不限于下列条款内容)∶

第一条 为加强白帽子漏洞提交规范,平台禁止以下行为:

1) 禁止在平台提交虚假漏洞信息,一经发现并证实后,我们将根据情况扣除其信誉值,情节严重者做封号处理;

2) 禁止将提交至本平台的漏洞透漏给除补天平台之外的第三方,透露给第三方造成的任何损失均由白帽子个人承担,违反规定者我们将根据情况扣除信誉值,情节严重者做封号处理;

3) 禁止公开在平台提交的漏洞详情及漏洞相关的任何细节,避免给厂商带来商业利益、商业信誉的损失,违反规定者我们将根据情况扣除信誉值,情节严重者做封号处理。

第二条 白帽子在漏洞风险发现与技术验证过程中必须注意以下行为 :

1) 白帽子在漏洞风险发现与技术验证过程中必须要保证研究漏洞的方法、方式、工具及手段的合法性;

2) 在漏洞挖掘时实现非授权访问或用户权限越权,在完成非授权逻辑、越权逻辑验证时,不应再获取和留存用户信息和信息系统文件信息;

3) 在漏洞挖掘时可执行数据库查询条件,获得数据库实例、库表名称等信息证明时,不应再查询 涉及个人信息、业务信息的详细数据;

4) 在漏洞挖掘时获得系统主机、设备高权限,在获得当前用户系统环境信息证明时,不应再获取其他用户数据和业务数据信息。

5) 在漏洞挖掘时禁止利用当前主机或设备作为跳板,对目标网络内部区域进行扫描测试。

6) 在漏洞挖掘时应充分估计目标网络、系统的安全冗余,不应进行有可能导致目标网络、主机、设备瘫痪的大流量、大规模扫描;

7) 在漏洞挖掘时禁止执行可导致本地、远程拒绝服务危害的技术验证用例;

8) 在漏洞挖掘时禁止执行有可能导致整体业务逻辑扰动、有可能产生用户经济财产损失的技术验证用例;

9) 在漏洞挖掘时获得信息系统后台功能操作权限,获得当前用户角色属性证明时,不应再利用系统功能实施编辑、增删、篡改等操作;

10) 在漏洞挖掘时获得系统主机、设备、数据库高权限,获得当前系统环境信息证明时,不应再执行文件、程序、数据的编辑、增删、篡改等操作。

11) 在漏洞挖掘时信息系统上传可解析、可执行文件,在获得解析和执行权限逻辑证明时,不应驻留带有控制性目的程序、代码。

第三条 不得为任何非法目的而使用补天平台漏洞及补天平台漏洞提供的相关信息:

1) 不得利用补天漏洞响应平台进行任何可能对厂商、互联网或移动网正常运转造成不利影响的行为;

2) 不得利用补天漏洞响应平台提供的网络服务上传、展示或传播任何虚假的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、庸俗淫秽的或其他任何非法的信息资料;

3) 不得侵犯其他任何第三方的专利权、著作权、商标权、名誉权或其他任何合法权益;

4) 不得利用补天平台网络服务系统进行任何不利于补天漏洞响应平台的行为;

第四条 禁止上载、展示、张贴、传播或以其它方式传送含有下列内容之一的信息 :

1) 反对宪法所确定的基本原则的;

2) 危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;

3) 损害国家荣誉和利益的;

4) 煽动民族仇恨、民族歧视、破坏民族团结的;

5) 破坏国家宗教政策,宣扬邪教和封建迷信的;

6) 散布谣言,扰乱社会秩序,破坏社会稳定的;

7) 散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;

8) 侮辱或者诽谤他人,侵害他人合法权利的;

9) 含有虚假、有害、胁迫、侵害他人隐私、骚扰、侵害、中伤、粗俗、猥亵、或其它道德上令人反感的内容;

10) 含有中国法律、法规、规章、条例以及任何具有法律效力之规范所限制或禁止的其它内容的;

第五条 不利用补天漏洞服务和网站相关信息从事以下活动 :

1) 未经允许,进入计算机信息网络或者使用计算机信息网络资源的;

2) 未经允许,对计算机信息网络功能进行删除、修改或者增加的;

3) 未经允许,对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;

4) 故意制作、传播计算机病毒等破坏性程序的;

5) 其他危害计算机信息网络安全的行为。