美团SRC漏洞测试高压线V1.0.0

  • A+
所属分类:安全闲碎

大家好:

为帮助所有白帽子在美团SRC测试过程中规避违规风险,保护平台和白帽子的安全和利益,确保平台漏洞奖励机制得以良性运作,美团SRC于今日发布《漏洞测试高压线V1.0.0》,望各位白帽子仔细阅读并在今后的测试中避免违规操作。



#一般违规行为
美团SRC漏洞测试高压线V1.0.0

1、测试中修改、影响线上真实业务数据,或引起客诉事件或业务投诉(包括越权修改配置、未授权接口访问行为、扫描器违规扫描等);

2、在使用“安全专测”活动提供的测试账号时,对账号信息进行篡改(包括修改绑定手机、修改密码、添加子账号、修改关联门店等);

3、在使用“安全专测”活动提供的测试账号,测试非“安全专测”测试范围的业务内容;

4、在测试过程中,使用包含不当言论(涉z、h、侮辱个人或团体)的测试用例;

5、通过非正规渠道借用、盗用、购买任何美团相关账号进行测试;

6、对线上业务系统进行DOS攻击测试;

7、未经批准,对*.sankuai.com域名发起测试活动。



#严重违规行为
美团SRC漏洞测试高压线V1.0.0

1、遍历敏感数据(注:包括但不限于个人敏感信息如手机、住址、银行卡信息等,公司及业务商业数据,任何可用于用户身份鉴权和登陆的相关凭证)超过50条(含sql注入获取数据);

2、保存/二次利用在测试过程中获取的敏感数据;

3、测试中修改、影响线上业务数据,或引起大量客诉事件或引起业务运行事故(包括越权修改数据、未授权接口访问行为、扫描器违规扫描等);

4、测试中未经账号所有者允许,盗用账号;

5、针对未开放注册的美团账号(如员工账号、合作商账号等)获取账号账密凭证并证明可以成功登陆即可提交风险,未经批准的进一步安全测试行为,视为违规行为;

5、未经美团SRC批准,对外发布安全漏洞测试细节;

6、未经美团SRC批准,上传恶意文件/木马,进行内网扫描等影响美团基础服务的行为;

7、以测试漏洞为名,在测试过程中利用漏洞/情报获取利益。



#违规处理
美团SRC漏洞测试高压线V1.0.0

1、测试过程中,触犯一般违规行为,平台将进行提醒/警告;

2、测试过程中,触犯严重违规行为,对涉及的漏洞进行安全币及贡献值清零处理;

3、在已收到平台关于一般违规行为的三次提醒/警告(含三次)后,测试人员仍执行违规测试操作,对涉及的漏洞进行安全币及贡献值清零处理;

4、一个季度内,因违规行为,被扣除漏洞奖励两次(含两次),本季度内全部漏洞安全币及贡献值清零,取消当季度排名奖励;

5、对于情节严重违规行为,美团SRC保留追究法律责任的权力。



漏洞提交



美团SRC:security.meituan.com

美团SRC漏洞测试高压线V1.0.0

本文始发于微信公众号(美团安全应急响应中心):美团SRC漏洞测试高压线V1.0.0

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: